Post #3082

關於近期受到的攻擊事件的正式說明 各位紳士淑女機械人： 對於近期發生的嚴重安全事件，嗶咔向所有用戶致以最誠摯的歉意。 這次嗶咔受到的攻擊性質惡劣，涉及敏感政治內容，給大家帶來了極壞的影響。作為一向不談政事，只談風月的平台，我們有不可推卸的責任，願意接受所有的批評。 此次攻擊讓嗶咔被迫捲入政治爭議，這絕非我們的本意。作為漫畫平台，我們一向尊重各地用戶的文化背景。嗶咔相信，漫畫應該是純粹的娛樂和藝術，而不是用來製造分歧的工具。今後嗶咔會努力確保平台內容的純淨性，為所有漫畫愛好者創造良好的閱讀環境。 《事件時間線》 7月1日 0:30 - 廣告系統遭到惡意攻擊，內容被非法篡改 7:30 - 管理人員發現異常 7:33 - 聯繫CDN服務商請求技術支援 7:46 - CDN服務商配合暫停域名解析 8:25 - 伺服器緊急下線，問題得到控制 10:00 - 發現客戶端快取問題，相關模組全面下線 7月2日-7月5日 僅保持核心功能運行 對廣告系統進行完整重構 全面審查系統日誌和安全漏洞 7月5日 新系統完成部署 各項功能逐步恢復正常 《攻擊原因分析》 經過技術分析，此次攻擊的根本原因是嗶咔的廣告系統存在安全漏洞。攻擊者透過持續的API密鑰爆破攻擊，最終獲得了系統存取權限，並惡意替換了廣告內容。 《問題澄清》 1）關於URL參數疑問 有用戶對廣告連結中的某些參數表示關注。我們需要說明的是，URL中「?」後面的GET參數是可以任意添加的技術特性，就如同在任何網址後添加「?參數=內容」一樣，這些參數可以被任何人隨意編寫，與網站營運方的立場無關。攻擊者在篡改廣告內容時，同樣可以在連結中添加任何內容。這確實不能作為判斷我們立場的依據。 2）關於DNS傳言 期間有用戶善意推測是DNS劫持導致修改廣告時被篡改。實際情況和修改廣告無關，而是我們主動請求CDN服務商暫停域名解析，這是標準的應急止損措施，而非DNS被劫持。感謝用戶們的關心，但需要澄清這一誤解。 《關於未來防範措施》 1）技術層面 對特定路徑進行審查，只允許白名單存取 新版廣告系統開發API 2）管理層面 盡可能保證24小時安全檢查 緊急終止系統 《結語》 此次事件暴露了嗶咔在安全防護方面的不足，我們將以此為鑑，持續改進我們的技術架構和管理流程。 再次為此次事件給各紳士淑女機械人帶來的困擾深表歉意，並感謝所有用戶的理解與支持。 嗶咔上