資料圖。

　　登錄B站賬戶后，用戶“布魯策”發現自己的關注列表中，莫名地出現了“小米公司”。

　　“我從來沒有主動關注過，為何他會出現在我的賬戶中？”“布魯策”甚是疑惑。

　　與“布魯策”有著同樣遭遇的還有很多B站用戶。除了突然關注“小米公司”外，一些用戶發現，自己賬戶存在很多異地登錄的記錄。

　　為何會出現這種情形？不少用戶不禁困惑：究竟是誰在偷偷登錄我的賬號？

　　數千B站賬號存被盜風險

　　B站全稱為嗶哩嗶哩彈幕網（bilibili），是國內最大的年輕人潮流文化社區，也是國內最大的二次元用戶（即動漫用戶）聚集地，創建于2009年6月。

　　在收到多名用戶有關賬戶莫名關注“小米公司”的反饋后，B站也進行了相關的調查了解。4月16日，B站發布公告稱，經過排查，發現從4月14日8時起，有來自福州、金華兩地的IP，出現了集中登錄賬號，并關注“小米公司”的異常操作。

　　該公告稱，經過與小米公司的溝通，B站了解到，小米公司近期將舉辦新品發布會，正在針對關注B站的小米官方賬號的粉絲，舉辦抽獎活動。B站初步推測，這一異?，F象，疑似為黃牛針對小米公司抽獎活動而進行的操作。

　　經過初步調查，B站稱，疑似被盜號的用戶數在3000至4000人之間；至于賬號被盜的方式，B站推測是通過密碼庫進行哈希碰撞所得。

　　所謂哈希碰撞是指黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，由于很多用戶在不同網站使用的是相同的賬號密碼，因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站。

　　B站內的代理游戲登錄方式現安全漏洞

　　而除了有用戶的關注列表中出現“小米公司”外，一些用戶還發現自己的賬戶存在異地登錄的情形。

　　常住上海的資深B站用戶王空（化名）告訴法治周末記者，在B發布公告后，他登錄自己的賬號，在“登錄記錄”中發現，4月13日，賬號曾通過中國廣東廣州電信登錄；4月16日，就在他在上海登錄賬戶的前6分鐘，自己的賬號還在中國江蘇鹽城登錄過。

　　這番發現也讓王充對自己在B站的FGO游戲賬戶的安全充滿了擔憂。FGO，原名《Fate/Gr Order》（命運-冠位指定），是日本游戲運營商TYPE-MOON研發的角色扮演類手機游戲，于2015年7月末在日本上線。2016年9月，B站宣布成為手游FGO國服的獨家代理商，用戶可以直接通過B站賬號登錄FGO。

　　王空告訴法治周末記者，他在這款游戲上起碼充了15000元，游戲賬號的價值也有3000元以上了。由于FGO的游戲登錄賬號就是B站的賬戶名和密碼，在發現自己B站賬戶多次出現異地登錄現象后，王空稱他現在十分擔心賬號被盜。

　　撞庫盜號事件發生后，B站曾在公告中建議用戶及時更新密碼。不過，王空告訴記者，一部分FGO玩家發現，雖然改變了B站賬號的密碼，但是之前處于記住密碼狀態的FGO，仍然可以在不使用新密碼的情況下直接登錄。

　　4月16日晚，王空將B站賬號的密碼修改之后，發現確實能夠使用原密碼登錄游戲，后來由于擔心賬號安全，就在第二天使用新密碼重新登錄了，他說：“這個BUG存在很久了，完全是因為這次事件徹底暴露出來的?！?/p>

　　不常用IP地址登錄賬號時應提高防護

　　對于王空所反映的B站遭遇撞庫事件，以及修改密碼后仍能通過舊密碼登錄的問題，4月20日，法治周末記者向B站發送了采訪請求。不過截至發稿時，對方未做回復。

　　易觀新媒體分析師馬世聰認為，雖然此次撞庫事件目前尚未給B站用戶帶來明顯的損失，但也預示著未來黑客可能會通過技術手段控制用戶的賬號，以達到某種目的，例如，“黑客”可能會通過盜取用戶賬號，給特定的視頻強制刷瀏覽量、播放量，就如同此前“黑客”盜取豆瓣用戶賬號刷影評，使得這些賬號被變成“水軍”。

　　“這次撞庫對于B站而言，尚不會造成很大的影響?！瘪R世聰表示，目前，B站擁有大量的付費用戶，今后若發生賬號被盜的情況，可能會對用戶造成財產損失，損害用戶的權益，因此，為了防范類似事件的再次發生，B站應當進一步升級安全措施，并且設立相應的應對措施。

　　北京市京都律師事務所律師賈虹杰認為，此次B站部分用戶賬號被盜事件，黃牛黨、黑客涉嫌構成非法侵入計算機系統罪，對于權益受損的用戶，黑客要承擔民事賠償責任；此外，如果B站在事件中具有過錯，同樣要承擔賠償責任或合同違約責任。

　　中國互聯網協會信用評價中心法律顧問趙占領持相似觀點，他認為，B站是否需要承擔責任，主要看網絡服務運營商是否盡到充分的安全保障義務，如果通過基本的技術防護就能避免漏洞的出現，那么B站要承擔管理不力的責任。

　　對于用戶修改密碼后，還能使用原密碼登錄的情況，趙占領表示，這屬于技術上的漏洞，平臺應當及時通知用戶，減少可能出現的損失；一些權益受到損害的用戶，可以要求網絡服務運營商承擔責任，要求賠償相應損失。

　　“許多用戶為了方便記憶，在多個平臺上使用同一套用戶名和密碼，因此，一旦某個平臺賬號被盜，就可能給其他平臺賬戶帶來風險?！睘榱吮Ｕ腺~號安全，趙占領建議用戶在不同平臺使用不同密碼；此外，平臺也需要在技術上加強保護，起碼對于使用不常用IP地址登錄的賬號，平臺應該通過郵箱、手機短信等方式進行驗證。

責任編輯：韓希宇