从去年 11 月开始到现在,我在大陆外的互联网平台注册的账号陆续收到了安全风险提醒的邮件,包括 Google ,Microsoft ,Github ,ebay ,Twitter ,Amazon ,Cloudflare ,Ubisoft ,Facebook ,LinkedIn ,Reddit ,Steam ,Rockstargames, Splashtop 甚至 temu 。
开始我没太在意,以为只是因为代理节点频繁更换而已,但是最近几天我甚至在凌晨睡觉时收到了快手、微信的登录验证码,我的学校.edu.cn 邮箱也有可疑行为,网上查了一下貌似是有 spammers 用了我的 smpt 。
好在我只在 Google 上绑定了付款方式,并且我先前就已经启用了 Google 和 Microsoft 的两步验证,Google 直接把我的登录设备全部下线了,出于安全起见,我基本上都修改了这些账号的密码。
邮件内容基本上是提醒我的账号有可疑行为、被异地登陆了,或者要求我改密码,根据邮件提供的 ip 地址我查到访问地点有香港、新加坡、美国、柏林、莫斯科等,ipv4 与 v6 地址均有出现,登录设备多数都是“Mozilla/5.0 (Linux; Android 10; K)”或“Mozilla(Linux)”,也有其他的但是基本都和我的设备对不上。
我可以确定请求验证码这类的行为我没有执行过,有的账号比如 LinkedIn 、temu 我近期甚至没有使用过,最近一年多也并没有更换机场,在用的两个机场也不提供柏林、莫斯科节点,并且近期我只用过我的 Windows 电脑和我的 Android 13/14 手机、平板在 Chrome 上登陆过这些账号,我的电脑、手机、还有一台 Linux NAS 上安装了 Firefox ,但我几乎不用来访问公网也并没有登陆过帐号。所以我推断我的信息有可能是泄露了。
我一直在使用 Chrome 的密码管理器管理密码,电脑安装了火绒,手机上也没有安装那个软件。我各个平台的密码不同但是有统一的形式(为了好记),我怀疑这也是我的账号短期内大规模沦陷的原因之一。
之前听说过 Chrome 管理密码不安全但是对账号安全性没太多注意并,且习惯原因没法脱离。不知道各位有什么想法,比如账号可能是怎样被窃取的;或者建议,比如密码管理和信息安全有什么要注意的点。
谢谢各位!
1
xixixicat 334 天前 1
Chrome 的密码管理器,只要你在公共电脑上的 Chrome 登陆了你的账号,不注意的话就会同步账号密码,我猜这是熟人对你的一次窃取
|
3
Echorain 334 天前
跟楼主一样的问题,主要出现在 Google 、Microsoft ,甚至 Epic 账户被删除(后面通过官方客服找回)。
目前排查 1password 、Enpass 、Apple 密码管理器应该没有泄漏问题,Edge 浏览器保存密码可能存在泄漏,VPN 去年 9 月份更换的,无法确定是否因此泄漏。 |
4
chhtdd 334 天前
mark 一下,纯好奇,等个结论
|
5
yumusb 334 天前
下载了什么恶意软件吧。软件可以拿到 chrome 保存的密码。
|
6
totoro625 334 天前
“Chrome 的密码管理器管理密码”
没有主动设置加密的话很容易拿到你的全部密码 最简单的复现方法是打开 edge 浏览器,保持默认或主动打开从 Google Chrome 导入数据,看看里面有没有你的密码 如果 EDGE 浏览器能拿到你的密码,意味着电脑上的任何程序都能拿到你的密码 |
7
totoro625 334 天前
参考: /t/872745 /t/883693
下载这个程序,杀毒软件信任一下,再运行,能出密码就不安全: https://github.com/moonD4rk/HackBrowserData/releases 目前给出的二进制程序已经被杀毒软件记录了,但是基于这个程序的自编译项目可以绕过杀毒软件,你可以认为目前流氓程序都是用的这套代码 |
8
gamexg 334 天前
chrome 的密码虽然加密了,但是是使用的 windows 账号加密的.
你只要登陆了账号,同一账号下运行的程序都能解密 chrome 的密码,具体方法都是公开的. 我记得其他浏览器也有同样的问题. |
10
3nit OP @totoro625 谢谢!这个信息我了解过,Chrome 的密码和密钥存储安全性很成问题,之前一直没遇到问题也就没太放在心上。不过我有点好奇“没有主动设置加密的话很容易拿到你的全部密码”,主动设置加密是指什么?
|
12
totoro625 334 天前
@3nit #10 进入 https://passwords.google.com/u/0/options?ep=1&hl=zh-CN&standalone=false
/u/0 指的是第一个 Google 账户,以此类推 里面有一个“设备端加密”的选项 实际测试下来,依旧能获取到全部密码 |
13
wjfz 334 天前
楼上的评论有点歪,Chrome 密码是否安全是第二扇门,问题是第一扇门怎么被破了。
是用了什么无良机场,还是电脑下什么软件了,或是手机装什么 APP 了。这些问题不解决,微信聊天记录都能 dump 出来。 连快手微信都收到验证码了,可以优先回忆下手机端是不是做什么操作了。 又或者是被别人针对?或者同学在和你开玩笑?(概率不大 |
14
wjfz 334 天前
|
15
FPL 334 天前 via iPhone
可以不可以弄个多个钓鱼账户?随机密码防止撞库,分别存入每个密码管理器,哪个号漏了那八成就是哪个密码器的问题,如果全漏了那就是本地文件泄漏之类的问题了。唯一缺点就是试验周期比较长
|
16
maggch97 334 天前
我最近 outlook 账号也被登陆了一次,定位广州,IP 美国。独享的密码不可能撞库撞出来。我只能怀疑是现在病毒都开始偷 chrome 密码了。
之前虽然也能偷,但是还没有闹得沸沸扬扬,现在全中国做恶意软件的人都知道了 已经准备彻底不用电脑了... iPad 替代吧 |
18
whileFalse 334 天前 via Android
@Echorain 哥们你用多少密码管理器
|
19
whathappen 334 天前
最近我的 163 邮箱也提示有风险了,不知道有没有关系。
一直感觉保存密码这个操作很危险,看来的确很危险。 |
20
tsinglinrain 334 天前
今天看到两起密码被盗的。
我感觉八成是电脑装了什么软件有病毒,其盗取 chrome 类的浏览器的账户及密码。 建议用 Bitwarden 之类的密码管理器,能 2fa 的上 Google authenticator 之类的软件,安全一些。 |
21
3nit OP @wjfz 这一点也很重要。我之前确实有在网上找盗版 Windows 软件用的经历,但是时间有点久我暂时不好确定,手机和平板都没有解 OEM 锁,我认为应该还是比较安全的。通过机场泄露这点,我不是很懂这方面,我的理解是密码很少有不走 SSL 加密的机场没法拿到明文吧。
另外可以排除被人针对。 |
25
3nit OP @whathappen 但是好方便,并且现在人人都是好几百个账号密码,安全性上来说又要最好不重复,不用不现实。。。
|
26
3nit OP @tsinglinrain 正在考虑换到其他的管理工具,目前试了试 Bitwarden 觉得还是不如 chrome 的方便。另外国内互联网平台没几家支持 2fa 的挺无语的。
|
28
3nit OP @totoro625 打算重装下 Windows 了,不过今天试了好几个密码管理,也包括 1password ,在 Android 上都不太好使,登录某些网页时候弹不出自动填充,有点迷茫了。
|
29
maggch97 334 天前 via iPad
@3nit 如果设备是 Mac 或者 Windows ,很难说到底设备是不是安全,因为不可避免要安装第三方软件。即使是开源的,也没办法保证开源代码或者说打包 pipeline 是不是有问题。
数据越来越重要,看过越来越多的数据泄漏事故之后,我觉得最好的做法就是所有涉及账号密码之类敏感数据的操作都放到 iPad 上,至少我可以确认,即使我乱下软件,只要不装浏览器插件,iPad 就是 99.999%安全的。Mac 的 Safari 安全性也是足够的,但是其他方面安全性也不比 Windows 高多少,所以还是一步到位 iPad 吧 |
30
maggch97 334 天前 via iPad
@3nit 使用各种奇奇怪怪的密码管理器,不说管理器本身的安全性。填入 Chrome 的密码,Chrome 的 cookie 可都是能被随意窃取的。
|
31
Great233 333 天前
前几天 Microsoft 账户也被登录两次,定位是在肯尼亚和印尼,密码管理器一直用的 Microsoft Authenticator
电脑都好久没开了,不知道哪里泄露出去的 |
32
whathappen 333 天前
这些大厂都是看起来很规范,很安全。
当年的 MSN 就是用明文传聊天内容的(代理端可以看到所有人的聊天),而 QQ 则当时已经加密聊天内容了。 现在 Chrome 保存的密码这么简单就可以被复制走了。 |
34
3nit OP @whathappen 不太明白为什么这么久了谷歌还是没有重视这个问题。。
|
35
huntagain2008 332 天前
我的 Epic 账户可能被删除(没有保留购买记录,不知道怎么通过官方客服找回)。Epic 账户我近 2 年没登过,注册的邮箱帐号现在都记不得了,刚刚重新输入印象中的电子邮箱只有直接注册选项,没有登入了。
(所以 Epic 我是再也不会去用了) |