天涯论坛1.27亿用户记录疑遭泄露：暗网威胁者声称重启日拖库

6月4日，暗网情报账号 DailyDarkWeb 在 X 平台发布了一条引人关注的消息：有威胁行为者声称窃取了天涯论坛（tianya.net）约 1.27 亿条用户记录，包含账号、密码哈希和注册邮箱。

攻击者的叙述

发帖者自称"ChinaTomchen"，声称天涯社区6月1日恢复访问后，他在上线前数日就完成了侦察准备。根据其描述，天涯新版使用了定制化的 Discuz! 前端，后端迁移到 Kubernetes + TiDB 集群，并部署了加密和审计日志，还同时接入阿里云和腾讯云的高防服务。

攻击者声称，上线当天大量攻击者涌入门户（HTTP/2 flood、CC 攻击、DNS flood、SYN 半开等），防御团队疲于应对，日志出现延迟，分析师无法跟上节奏。他利用这一混乱窗口，通过 2000 多个已清洗的住宅/移动代理池进行低频探测和模糊测试，目标是搜索端点、用户 API 和一些遗留接口。

攻击者自称通过一个弱密码的低权限统计账号获得初始入口，随后利用数据库在高负载下性能规则临时放宽的机会，直接连接主数据库服务器进行数据导出。导出过程采用分桶、小批量、伪装成正常后端报表查询的方式，配合随机延迟，数据加密后暂存到对象存储，再通过小型 webshell 缓慢拉出。

整个过程声称持续约 12 小时，最终获取超过 1.27 亿行数据。攻击者表示数据已用 AES-256 加密并在多处冷存储。

关键背景：天涯重启当天的混乱

无论攻击者的叙述是否属实，天涯6月1日重启首日的运营状况确实混乱。多家媒体实测发现，使用 Chrome、Edge 等主流浏览器访问 tianya.net 时，服务器频繁出现响应超时，需要多次强制刷新才能偶尔加载。凤凰网记者在凌晨 0 点 40 分实测时，页面仍处于无法正常打开的状态。

天涯官方此前发布的说明中也承认，由于停摆三年，历史系统架构陈旧、底层数据结构复杂，需要时间梳理与重构。海量历史数据向新域名及新运营主体迁移还涉及《个人信息保护法》下的用户重新授权问题。

这种"上线即过载"的状态，确实为攻击者提供了可乘之机。

风险评估：密码哈希意味着什么

DailyDarkWeb 的分析指出，即使泄露的是密码哈希而非明文密码，威胁行为者仍会尝试离线破解。对于在天涯及其他平台使用相同密码的用户，面临的风险包括：

• 撞库攻击：用已破解的账号密码组合尝试登录其他服务
• 账户接管：目标账户被恶意登录后可用于钓鱼、欺诈
• 身份盗用：注册邮箱结合其他泄露数据可用于社工攻击

天涯论坛创建于 1999 年，注册用户曾超过 1.3 亿。这些账户大多创建于互联网早期，用户安全意识相对薄弱，大量使用简单密码且跨平台复用。即便密码经过哈希处理，早期论坛的哈希算法（如 MD5 无盐、SHA-1）在现代 GPU 破解面前几乎不堪一击。

尚未获独立验证

需要强调的是，以上攻击叙述来自暗网帖子的单方面声称，目前尚未获得独立验证。DailyDarkWeb 本身也明确指出，这一说法的"最值得关注之处不是技术叙述本身，而是声称暴露了 1.27 亿用户账号和密码哈希"。

天涯社区方面暂未对此事作出公开回应。截至发稿时，中文媒体上也未见相关报道。

对于曾经注册过天涯账号的用户，建议立即检查是否在其他平台使用了相同密码，并尽快修改为高强度独立密码。开启两步验证也是降低账户被盗风险的通用建议。

来源：DailyDarkWeb (X) · 经济观察报 · 每日经济新闻