关于12-13的小更新以及密码泄露的说法
Small backend update - uploaded progressive comission for offer placing on flea market, added restock timer randomization for traders
简单翻译一下，修改了跳蚤市场的手续费出价方式，没上号不懂，固定商人现在随机时间刷新(而不是三小时)

这是尼基塔官推对于密码泄露的说法，简单的看了下公开的劫持方法。
学网络安全的大四表示，如果能通过浏览器cookie 偷到所有用户的密码账号，举个例子，那你所有的通过浏览器登录的账号，比如你网页上登录qq邮箱，你的淘宝账号，早tm被人偷了去了，纯属扯淡造谣。
唯一能偷到你的密码的方法就是攻破塔科夫服务器数据库。
实际上确实还有一种通过cookie 能偷你账号的方法就是劫持你的路由器，你的运营商劫持你发送的数据。如果能做到这点，那不光是塔科夫账号，你所有通过浏览器登录的账号都被人偷了去了，所谓的MD5加密算法太简单这点不考虑，破解你的算法前提是首先他要劫持你的Cookie。
光这一点就不可能，谁没事跑你家WiFi 旁边来连上你的WiFi 劫持你的路由器，亦或者***能劫持运营商。
大可不必惊慌。

不是专业人士，不太懂，关键词：cookie ，窃取。

https://bbs.pediy.com/thread-191749.htm

但不管怎么样 因为提出来这个问题 毛子把别人ban了也太过分了吧

@airground 非专业人士没关系，你只需要知道破解你密码的前提是抓包劫持，好比你的账号密码在一个加密包裹里，从你的浏览器送到尼基塔服务器。
如何抓包？
任意一个环节把你的加密包裹给抓走即可。
要么攻击尼基塔服务器
要么传送途中劫持DNS，劫持运营商等等
要么攻击你的电脑，中国的运营商是很安全的，如果不安全，你的淘宝密码天天泄露。
为了自己的信息安全，那么对于我们来说，只要做到图上两点即可。这样可以让黑客根本没有机会拿到你的加密包裹，更谈不上破解了。

比如这种方式只需要在网页中内置恶意代码即可

那我还能说什么？尼基塔的服务器是很安全的呀，你自己跑到钓鱼网站，去输你的账号密码那个网站并不是官方的网站，那能怪谁？
另外楼上发的帖子，说的一切窃取cookies的各种方法。前提是官方的服务器被黑客才能在服务器里植入你的这个窃取程序，前提不满足。第三方钓鱼网站关尼基塔毛事

emmm，我认为你混淆了cookie（网络本地缓存）和数据包的概念

数据包是互联网通信的传输数据单位，而cookie只是保存在本地的用户文件（密码，搜索记录等）窃取cookie只需要改一下搭建网站的网页代码，让它有读取你的cookie权限就行了，不需要对通信数据包进行拦截。

说了这么多 就是没事

真相了

话说固定商人是啥，中间有段时间没玩，一直看有这个说法

cookies这边没问题，不过我看了那个人发的pdf，似乎暗示他把数据库给脱了，并且有登录id和md5加密后的登录密码。当然，就算解密完成了，如果你的邮箱和邮箱密码与账户和账户密码不同，他照样没法得到你的异地验证码，所以最危险的就是登录id和密码与邮箱相同的人，爆破md5之后还是有可能盗号的