QQ賬號安全么？

01-05

一個前段時間被騰訊害慘了的人，我不得不說一下。也從那天起，騰訊不把安全做好，我不會在使用騰訊任何產品。

先說一下，我以及帳號背景、上網環境：

我，接觸黑客也有好多年了，自從做了管理，也沒心思玩那個了，所以最起碼基本的常識還是有的。不算大牛也絕對不是小白。

前些年一直喜歡QQ靚號，特別是04年註冊了一個QQ帳號，很靚，很喜歡。目前等級82級，vip7，各種密保齊全，包括之前身份證帳號，遊戲實名認證等等，財付通等等。還有一點，我的手機號從來沒變過。

上網環境，家裡mac（這個安全不用說），公司電腦只做工作，所以安全性也沒問題。

終於，上個月QQ被盜了，這對我來說太重要了，why？

首先，玩Q以及互聯網混跡多年，只有我黑別人，居然黑我頭上了。很明顯，QQ是被申訴走的，因為我設置了登錄現在，別人無法登錄，更別說改密碼了。最最最擔心的是，公司的所有數據，我一股腦全部用微雲同步了。

早上6點收到修改密碼的簡訊，馬上起床申訴，到公司9點，告訴我申訴失敗，再申訴因為要等小時，心急如焚，找客服，我讓他趕緊把帳號給我限制登錄，他說沒辦法，現在登錄需要密碼，就算限制了，別人有密碼也可以接觸。地址是http://aq.qq.com/007。

（最讓我生氣的是：我跟客服說，我一切資料齊全，密保有設置身份證，客服說那都沒用。的確是！那怎樣才算安全？）

10點四十左右，申訴成功了。最終的結果是：

1、新網帳號密碼被改，dnspod密碼被找回，網站解析被改。（其中易名網找回密碼需要手機，要不然更慘，易名網我一大堆域名。）

2、國內空間商網站帳號被改，幸虧去年全部轉走了。

下面我做的是：

微雲資料全部刪除，轉dropbox，設置二步驗證，所有用QQ郵箱註冊的帳號能改郵箱的全部改成gmail，設置二步驗證，解決了。開始研究帳號被盜的事。

實在想不通，就算別人申訴也不能有我的老密碼，之前csdn的庫有我帳號，但是黑客不會找到，因為我平時根本不會在網上留下信息。

於是，我加了那個盜我QQ的人，問他怎麼申訴的，他告訴我，網上的庫有密碼，然後自己隨便組合的密碼，知道我的手機和身份證帳號。

驗證一下：我去之前騰訊爆出的群關係庫里找，能找到我的真實姓名，域名whois能找到我的手機號碼，至於身份證我就不知道怎麼獲得的了。這個不大可能。然後一個密碼，其實是我在08年的時候，去老婆學校找她，在她們網吧登錄了一次QQ，結果就被記錄了，那是唯一一次暴露的密碼，後面我直接社工自己的帳號，的確找到了。

好，就算他知道我一個老密碼，身份證，手機號，常登陸地（我N年都沒挪過坑！）沒有任何好友輔助，還是異地申訴，居然通過了？

先不說別的，我整天上QQ的設備就3個，並且公司都是固定ip，我QQ整天掛著的，我怎麼可能跑到外地去，還在申訴？無法理解！

騰訊，你們的申訴機制是神嗎？如果有人看完了我的吐槽，是你，你還敢用騰訊的任何服務？（這裡可能有個例外，那就是微信，我換手機後，自己都進不去自己的微信，還別說別人了。）

如果不帳號安全，在上面的任何東西還有意義嗎？寫的筆記？傳的照片？聊天？更別談支付了，那不是笑話嗎？

本來我是不想再把精力浪費在這件事上的，但是今天QQ號又被盜了，與好友LCC通過電話之後，我覺得把這件事的經過寫出來，一是給做互聯網安全的人提個醒：產品設計遠比技術更重要；另外，是個公眾提個醒，你們現在已經極度依賴網路了，但是網路遠沒有你們想像的那麼安全，你不會被盜只是你沒有那麼大的價值或者還沒有樹敵，黑客可以通過賬號知道你的一切。

我遭遇的這個小黑客，應該也算不上黑客，只不過是很好的利用了互聯網產品的一些漏洞而已，但是這個漏洞足矣給我造成很大的麻煩，事情的背景就不介紹了，大體是我一個八竿子打不著的同學怎麼傷害到他了，然後黑客就把他的賬號盜走了，然後接著把他的同學全部盜了，然後就蔓延到了我這。

我在一個周日的早晨發現自己人人微博gmail全部淪陷，意識到自己的號碼被盜了，因為賬號申請的時間比較早，賬號保護問題早就忘了（而且貌似當時就是亂填的，哎保護意識不夠啊）比較慶幸的是人人綁定了手機號，我順利的通過手機號找回了密碼，然後5min不到密碼再次被盜，而且手機也取消了綁定，我意識到是自己人人賬號的那個郵箱被盜了，黑客可以通過賬號郵箱不斷的拿回密碼。好在手機簡訊可以恢復綁定，我就不斷的通過手機找回，黑客不斷的通過郵箱拿到密碼，我們展開了一場賬號爭奪戰，我一邊爭奪一邊向人人申訴修改賬號，但是人人的反應速度要48小時！黑客一邊在刪除我人人的資料，一邊在我人人上散播謠言。有人可能會問，你直接把郵箱找回不就行了，但是郵箱找回又是何其困難，這個下一節再說。終於，人人幫我把郵箱更換，更換為了我自己管理的郵局，但是人人的照片、日誌等等都沒了，而且名字已經無法更改，貌似有規定幾個月只能改一次，人人完全是一片廢墟，特別傷心，畢竟是滿滿的回憶啊。打電話給人人的朋友，然後直接找到負責安全的兄弟，幫忙全部恢復，特別幸運，有兄弟真好。至此，人人這一城算是拿下來了。但是關於我說的盜取郵箱可以直接盜取人人賬號（因為人人會經常給賬號郵箱發郵件，所以黑客很快就意識到郵箱跟人人是綁定的），人人那邊也說這個問題暫時無解。

微博篇就比較簡單了，這裡要贊一下新浪微博，反應速度足夠快，很快我就通過賬號的申訴拿回了新浪的賬號，包括郵箱和微博。但是還是不到5min就被再次盜走，後來我終於發現，新浪微博有個所謂的安全郵箱的設置，我之前沒有設置過，黑客一次導入之後，將安全郵箱設置為他的郵箱之後，他可以在任意他想進來的時候通過安全郵箱拿到密碼。所以，還沒有綁定安全郵箱的童鞋們，看看你們的安全郵箱吧，是不是已經被綁定了你不知道的郵箱？那證明已經有黑客來過了。解除這個安全郵箱更可笑，需要輸入這個安全郵箱的賬號，這個郵箱又不是我的，我怎麼可能會知道？打電話給新浪微博的朋友，然後通過漫長的等待，總算是把安全郵箱清空了，新浪賬號也算是拿了回來。

然後就是gmail了，這個問題就過分複雜了。因為我是一個極度依賴谷歌這套系統的人，郵箱，Gtalk，手機等等，所有與工作有關的信息都在這裡。但是，谷歌居然沒有客服！沒有人工客服！我谷歌的安全郵箱是很早以前（2004年）綁定的當時126的郵箱，我妄圖通過126找回，結果發現，網易居然有個政策，3個月不用的郵箱系統自動收回！所以只能通過向谷歌申訴，拿回郵箱，然後就開始了長達一周的漫漫申訴路，一周都沒有辦法工作！找回後我增強了密碼保護等級，現在我的郵箱必須要讀取我手機應用的驗證碼才能登陸，小黑客，你還能把我手機一起偷走么？

今天早上QQ用著用著就被盜了，其實經過之前的那場風波之後，自己也早已經坦然了，之前的那場風波讓我嚴重的意識到自己原來那麼依賴網路，而且，依靠常規手段是無法打贏黑客的，還要靠兄弟。騰訊這個bug就更大了，通過三個好友的qq賬號，姓名，就可以拿到你的密碼！黑客黑掉三個你的朋友，然後可以通過QQ的通訊錄啊、騰訊朋友啊之類的，很容易拿到真實的姓名，然後就可以申訴拿到你的密碼。不僅僅是黑客，三個身邊的朋友就可以知道你的一切！現在申訴還在進行中，但是雖然我找回密碼，他依舊可以通過擁有的我的朋友的賬號把我盜走，我的解決辦法就是拿到賬號後，迅速將這些好友關係解除。

綜上所屬，平時大家都覺得號碼被盜了沒什麼，但是真正當你發現自己的社交賬號被全部盜走之後，網上的你就變成了另一個你，可以肆意查看你的隱私，冒充你跟你的朋友講話，而且你對此無能為力，這其實是很可怕的一件事情。

我推理的黑客的攻擊思路：第一次攻擊，以gmail為例，只要他知道了你幾個好友的email地址，就可以通過申訴拿到你的gmail，繼而可以通過查看你的gtalk聊天記錄得到你很多相關信息，如果你通過gtalk跟人說過你的密碼的話，你就很可憐了。另外，可以通過gmail拿到你所有綁定gmail的社交網路的賬號，或者其他的郵箱。第二次攻擊更加簡單，只要盜走了你周圍人的賬號，三個就可以把你的賬號盜走。所以如果你身邊有人被盜號，你要小心了。

給出大家一點建議：

1.郵箱是萬惡之源，社交網路賬號的郵箱一定要是那些你覺得自己可以完全掌握的郵箱。Gmail最大的弱點就是沒有人工客服，遇到事情你完全沒辦法處理。然後就是如果你也用Gtalk，那麼你就更麻煩了，Gtalk的xmpp協議本身就不是一個十分安全的協議，另外他把你的聊天記錄保存在email里，你不經意間透漏的信息就是巨大的漏洞。

2.仔細查看你賬號中安全項目里的所有條目，能綁定的儘快綁定，如果你有的選項是空的，那麼一旦賬號被攻破，黑客將其與自己的東西綁定的話，你就要展開漫長的賬號爭奪戰了。

3. 無論你的密碼保護多麼強大，身邊有朋友賬號被盜了，你就要小心了，無論你密碼保護有多麼強大，對方都可以通過你的名字以及你的好友把你的賬號盜取！

我已經信不過任何國產軟體了，如果你問包括（這個地方填入我們都了解的這個公司名）的軟體嗎？我的回答是，是。

首先，QQ賬號一定不安全。因為你在下載軟體和上網的時候會中木馬病毒，360 金山查不出來的話。就悲劇了。話說，沒次卸了360裝上金山的時候，就查出來幾個木馬病毒之類的；當然卸了金山，裝回360的時候，也會查出來病毒木馬之類的。話說如果你的賬號沒什麼價值的話，即使盜號成功了，黑客也直接把你扔掉了。因為沒有利用價值。最近我的QQ就總被提示登錄異常。每次提醒都是河北滄州登錄。很詭異。不過百度了一下，貌似是由於QQ定位不準，錯報的。