QQ賬號安全么?


一個前段時間被騰訊害慘了的人,我不得不說一下。也從那天起,騰訊不把安全做好,我不會在使用騰訊任何產品。

先說一下,我以及帳號背景、上網環境:

我,接觸黑客也有好多年了,自從做了管理,也沒心思玩那個了,所以最起碼基本的常識還是有的。不算大牛也絕對不是小白。

前些年一直喜歡QQ靚號,特別是04年註冊了一個QQ帳號,很靚,很喜歡。目前等級82級,vip7,各種密保齊全,包括之前身份證帳號,遊戲實名認證等等,財付通等等。還有一點,我的手機號從來沒變過。

上網環境,家裡mac(這個安全不用說),公司電腦只做工作,所以安全性也沒問題。

終於,上個月QQ被盜了,這對我來說太重要了,why?

首先,玩Q以及互聯網混跡多年,只有我黑別人,居然黑我頭上了。很明顯,QQ是被申訴走的,因為我設置了登錄現在,別人無法登錄,更別說改密碼了。最最最擔心的是,公司的所有數據,我一股腦全部用微雲同步了。

早上6點收到修改密碼的簡訊,馬上起床申訴,到公司9點,告訴我申訴失敗,再申訴因為要等小時,心急如焚,找客服,我讓他趕緊把帳號給我限制登錄,他說沒辦法,現在登錄需要密碼,就算限制了,別人有密碼也可以接觸。地址是http://aq.qq.com/007。

(最讓我生氣的是:我跟客服說,我一切資料齊全,密保有設置身份證,客服說那都沒用。的確是!那怎樣才算安全?)

10點四十左右,申訴成功了。最終的結果是:

1、新網帳號密碼被改,dnspod密碼被找回,網站解析被改。(其中易名網找回密碼需要手機,要不然更慘,易名網我一大堆域名。)

2、國內空間商網站帳號被改,幸虧去年全部轉走了。

下面我做的是:

微雲資料全部刪除,轉dropbox,設置二步驗證,所有用QQ郵箱註冊的帳號能改郵箱的全部改成gmail,設置二步驗證,解決了。開始研究帳號被盜的事。

實在想不通,就算別人申訴也不能有我的老密碼,之前csdn的庫有我帳號,但是黑客不會找到,因為我平時根本不會在網上留下信息。

於是,我加了那個盜我QQ的人,問他怎麼申訴的,他告訴我,網上的庫有密碼,然後自己隨便組合的密碼,知道我的手機和身份證帳號。

驗證一下:我去之前騰訊爆出的群關係庫里找,能找到我的真實姓名,域名whois能找到我的手機號碼,至於身份證我就不知道怎麼獲得的了。這個不大可能。然後一個密碼,其實是我在08年的時候,去老婆學校找她,在她們網吧登錄了一次QQ,結果就被記錄了,那是唯一一次暴露的密碼,後面我直接社工自己的帳號,的確找到了。

好,就算他知道我一個老密碼,身份證,手機號,常登陸地(我N年都沒挪過坑!)沒有任何好友輔助,還是異地申訴,居然通過了?

先不說別的,我整天上QQ的設備就3個,並且公司都是固定ip,我QQ整天掛著的,我怎麼可能跑到外地去,還在申訴?無法理解!

騰訊,你們的申訴機制是神嗎?如果有人看完了我的吐槽,是你,你還敢用騰訊的任何服務?(這裡可能有個例外,那就是微信,我換手機後,自己都進不去自己的微信,還別說別人了。)

如果不帳號安全,在上面的任何東西還有意義嗎?寫的筆記?傳的照片?聊天?更別談支付了,那不是笑話嗎?


本來我是不想再把精力浪費在這件事上的,但是今天QQ號又被盜了,與好友LCC通過電話之後,我覺得把這件事的經過寫出來,一是給做互聯網安全的人提個醒:產品設計遠比技術更重要;另外,是個公眾提個醒,你們現在已經極度依賴網路了,但是網路遠沒有你們想像的那麼安全,你不會被盜只是你沒有那麼大的價值或者還沒有樹敵,黑客可以通過賬號知道你的一切。

我遭遇的這個小黑客,應該也算不上黑客,只不過是很好的利用了互聯網產品的一些漏洞而已,但是這個漏洞足矣給我造成很大的麻煩,事情的背景就不介紹了,大體是我一個八竿子打不著的同學怎麼傷害到他了,然後黑客就把他的賬號盜走了,然後接著把他的同學全部盜了,然後就蔓延到了我這。

我在一個周日的早晨發現自己人人微博gmail全部淪陷,意識到自己的號碼被盜了,因為賬號申請的時間比較早,賬號保護問題早就忘了(而且貌似當時就是亂填的,哎保護意識不夠啊)比較慶幸的是人人綁定了手機號,我順利的通過手機號找回了密碼,然後5min不到密碼再次被盜,而且手機也取消了綁定,我意識到是自己人人賬號的那個郵箱被盜了,黑客可以通過賬號郵箱不斷的拿回密碼。好在手機簡訊可以恢復綁定,我就不斷的通過手機找回,黑客不斷的通過郵箱拿到密碼,我們展開了一場賬號爭奪戰,我一邊爭奪一邊向人人申訴修改賬號,但是人人的反應速度要48小時!黑客一邊在刪除我人人的資料,一邊在我人人上散播謠言。有人可能會問,你直接把郵箱找回不就行了,但是郵箱找回又是何其困難,這個下一節再說。終於,人人幫我把郵箱更換,更換為了我自己管理的郵局,但是人人的照片、日誌等等都沒了,而且名字已經無法更改,貌似有規定幾個月只能改一次,人人完全是一片廢墟,特別傷心,畢竟是滿滿的回憶啊。打電話給人人的朋友,然後直接找到負責安全的兄弟,幫忙全部恢復,特別幸運,有兄弟真好。至此,人人這一城算是拿下來了。但是關於我說的盜取郵箱可以直接盜取人人賬號(因為人人會經常給賬號郵箱發郵件,所以黑客很快就意識到郵箱跟人人是綁定的),人人那邊也說這個問題暫時無解。

微博篇就比較簡單了,這裡要贊一下新浪微博,反應速度足夠快,很快我就通過賬號的申訴拿回了新浪的賬號,包括郵箱和微博。但是還是不到5min就被再次盜走,後來我終於發現,新浪微博有個所謂的安全郵箱的設置,我之前沒有設置過,黑客一次導入之後,將安全郵箱設置為他的郵箱之後,他可以在任意他想進來的時候通過安全郵箱拿到密碼。所以,還沒有綁定安全郵箱的童鞋們,看看你們的安全郵箱吧,是不是已經被綁定了你不知道的郵箱?那證明已經有黑客來過了。解除這個安全郵箱更可笑,需要輸入這個安全郵箱的賬號,這個郵箱又不是我的,我怎麼可能會知道?打電話給新浪微博的朋友,然後通過漫長的等待,總算是把安全郵箱清空了,新浪賬號也算是拿了回來。

然後就是gmail了,這個問題就過分複雜了。因為我是一個極度依賴谷歌這套系統的人,郵箱,Gtalk,手機等等,所有與工作有關的信息都在這裡。但是,谷歌居然沒有客服!沒有人工客服!我谷歌的安全郵箱是很早以前(2004年)綁定的當時126的郵箱,我妄圖通過126找回,結果發現,網易居然有個政策,3個月不用的郵箱系統自動收回!所以只能通過向谷歌申訴,拿回郵箱,然後就開始了長達一周的漫漫申訴路,一周都沒有辦法工作!找回後我增強了密碼保護等級,現在我的郵箱必須要讀取我手機應用的驗證碼才能登陸,小黑客,你還能把我手機一起偷走么?

今天早上QQ用著用著就被盜了,其實經過之前的那場風波之後,自己也早已經坦然了,之前的那場風波讓我嚴重的意識到自己原來那麼依賴網路,而且,依靠常規手段是無法打贏黑客的,還要靠兄弟。 騰訊這個bug就更大了,通過三個好友的qq賬號,姓名,就可以拿到你的密碼!黑客黑掉三個你的朋友,然後可以通過QQ的通訊錄啊、騰訊朋友啊之類的,很容易拿到真實的姓名,然後就可以申訴拿到你的密碼。不僅僅是黑客,三個身邊的朋友就可以知道你的一切!現在申訴還在進行中,但是雖然我找回密碼,他依舊可以通過擁有的我的朋友的賬號把我盜走,我的解決辦法就是拿到賬號後,迅速將這些好友關係解除。

綜上所屬,平時大家都覺得號碼被盜了沒什麼,但是真正當你發現自己的社交賬號被全部盜走之後,網上的你就變成了另一個你,可以肆意查看你的隱私,冒充你跟你的朋友講話,而且你對此無能為力,這其實是很可怕的一件事情。

我推理的黑客的攻擊思路:第一次攻擊,以gmail為例,只要他知道了你幾個好友的email地址,就可以通過申訴拿到你的gmail,繼而可以通過查看你的gtalk聊天記錄得到你很多相關信息,如果你通過gtalk跟人說過你的密碼的話,你就很可憐了。另外,可以通過gmail拿到你所有綁定gmail的社交網路的賬號,或者其他的郵箱。第二次攻擊更加簡單,只要盜走了你周圍人的賬號,三個就可以把你的賬號盜走。所以如果你身邊有人被盜號,你要小心了。

給出大家一點建議:

1.郵箱是萬惡之源,社交網路賬號的郵箱一定要是那些你覺得自己可以完全掌握的郵箱。Gmail最大的弱點就是沒有人工客服,遇到事情你完全沒辦法處理。然後就是如果你也用Gtalk,那麼你就更麻煩了,Gtalk的xmpp協議本身就不是一個十分安全的協議,另外他把你的聊天記錄保存在email里,你不經意間透漏的信息就是巨大的漏洞。

2.仔細查看你賬號中安全項目里的所有條目,能綁定的儘快綁定,如果你有的選項是空的,那麼一旦賬號被攻破,黑客將其與自己的東西綁定的話,你就要展開漫長的賬號爭奪戰了。

3. 無論你的密碼保護多麼強大,身邊有朋友賬號被盜了,你就要小心了,無論你密碼保護有多麼強大,對方都可以通過你的名字以及你的好友把你的賬號盜取!


我已經信不過任何國產軟體了,如果你問包括(這個地方填入我們都了解的這個公司名)的軟體嗎?我的回答是,是。


首先,QQ賬號一定不安全。因為你在下載軟體和上網的時候會中木馬病毒,360 金山查不出來的話。就悲劇了。話說,沒次卸了360裝上金山的時候,就查出來幾個木馬病毒之類的;當然卸了金山,裝回360的時候,也會查出來病毒木馬之類的。話說如果你的賬號沒什麼價值的話,即使盜號成功了,黑客也直接把你扔掉了。因為沒有利用價值。最近我的QQ就總被提示登錄異常。每次提醒都是河北滄州登錄。很詭異。不過百度了一下,貌似是由於QQ定位不準,錯報的。


推薦閱讀:

2013 年中國互聯網安全環境面臨的主要威脅有哪些?
2015 年的中國互聯網安全環境面臨哪些主要威脅?
請問這種病毒是怎麼回事?
Web安全與網路安全的區別?
6位PIN碼/數字密碼是否比傳統字元密碼更加安全?

TAG:騰訊QQ | 網路安全 | 賬號體系 |