大鑊!連登討論區受瀏覽器漏洞影響  黑客放入假對話框偷密碼

0

在今次抗爭行動,連登討論區似乎是不少人都會瀏覽的網站之一。不知道是不是因為太多抗爭的人會看,也成為了黑客的目標。有網民發現在瀏覽連登時突然彈出上述對話框,要求再次輸入登入名稱和密碼。這其實是有黑客利用瀏覽器的漏洞,試圖引誘用戶輸入登入資訊。

據稱,有人先申請lihk.ga的假域名,讓用戶放低戒心。然後,該名黑客活用瀏覽器<img>漏洞彈出視窗要求用戶輸入登入名稱及密碼。連登討論區管理員強調,有關漏洞不能在連登行任何Javascript程式碼,所以用戶的個人資料理論上不會被盜取。但是,若果在上述這個假的對話框輸入過登入名稱或密碼,則要立即更改密碼,以策安全。

相關原文

我們發現有用戶張貼冒充本討論區之網域 (冒充域名為 lihk.ga) 的圖片,利用瀏覽器漏洞彈出視窗要求用戶輸入登入名稱及密碼,如下圖:

該用戶利用了部份瀏覽器 <img> 的漏洞使瀏覽器彈出視窗並要求用戶輸入資料。該漏洞並不能在本網站執行任何 Javascript 程式碼,因此用戶毋須擔心個人資料被盜取。

如閣下不慎於該視窗輸入了帳號密碼,請立即更改,如有疑問歡迎電郵至 [email protected] 向我們查詢。

目前只收到用戶反映於電腦網頁版 Chrome 瀏覽器有此問題;而 iOS 及 Android App 則未受到影響,我們已即時作出緊急措施及封鎖有關會員,目前正在封鎖有關漏洞。如用戶於瀏覽時發現彈出視窗要求登入,請立即通知我們。

在此呼籲所有用戶切勿於來歷不明的網站輸入帳號資料,除了會員主動操作(如登入、更改會員資料等)外,本網站不會於任何情況下彈出視窗要求閣下登入帳號。

目前 LIHKG 討論區只有 lihkg.com 及 lih.kg 兩個域名。

最後,如閣下於本討論區使用與其他平台相同的登入密碼,亦請立即更改 (詳見: https://lih.kg/1459855)

Leave A Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More