在今次抗爭行動,連登討論區似乎是不少人都會瀏覽的網站之一。不知道是不是因為太多抗爭的人會看,也成為了黑客的目標。有網民發現在瀏覽連登時突然彈出上述對話框,要求再次輸入登入名稱和密碼。這其實是有黑客利用瀏覽器的漏洞,試圖引誘用戶輸入登入資訊。
據稱,有人先申請lihk.ga的假域名,讓用戶放低戒心。然後,該名黑客活用瀏覽器<img>漏洞彈出視窗要求用戶輸入登入名稱及密碼。連登討論區管理員強調,有關漏洞不能在連登行任何Javascript程式碼,所以用戶的個人資料理論上不會被盜取。但是,若果在上述這個假的對話框輸入過登入名稱或密碼,則要立即更改密碼,以策安全。
相關原文:
我們發現有用戶張貼冒充本討論區之網域 (冒充域名為 lihk.ga) 的圖片,利用瀏覽器漏洞彈出視窗要求用戶輸入登入名稱及密碼,如下圖:
該用戶利用了部份瀏覽器 <img> 的漏洞使瀏覽器彈出視窗並要求用戶輸入資料。該漏洞並不能在本網站執行任何 Javascript 程式碼,因此用戶毋須擔心個人資料被盜取。
如閣下不慎於該視窗輸入了帳號密碼,請立即更改,如有疑問歡迎電郵至 [email protected] 向我們查詢。
目前只收到用戶反映於電腦網頁版 Chrome 瀏覽器有此問題;而 iOS 及 Android App 則未受到影響,我們已即時作出緊急措施及封鎖有關會員,目前正在封鎖有關漏洞。如用戶於瀏覽時發現彈出視窗要求登入,請立即通知我們。
在此呼籲所有用戶切勿於來歷不明的網站輸入帳號資料,除了會員主動操作(如登入、更改會員資料等)外,本網站不會於任何情況下彈出視窗要求閣下登入帳號。
目前 LIHKG 討論區只有 lihkg.com 及 lih.kg 兩個域名。
最後,如閣下於本討論區使用與其他平台相同的登入密碼,亦請立即更改 (詳見: https://lih.kg/1459855)