昨晚大概是9点左右,我上号发现家族一个号 “工口先生” 退出家族
这个号的号主是家族王牌头目
当时其实我也没有多想,因为懒鱼这个号作为团本号,太多人知道账号密码了,可能就是哪个人想开出去玩玩,忘了告诉我,这个可以后面解决,之后我就打算上号看看到底怎么回事,可怕的现在才开始我上号发现,密码被改了!我上不去了!
但是这个时候我还是没有意识到严重性,因为如果知道账号密码,登陆上去,是可以直接通过密码来修改密码的,然后我通过验证码修改密码上了号,发现名字被改了,家族也是强退的
本以为事情就告一段落了,但是!就在短短几分钟之后,我被挤下线了,再次登录发现密码又被修改了,这个时候我才真正开始慌了,他一不知道新的密码,二也不可能收到验证码,怎么做到的?且当我再次通过验证码修改了密码上号后,发现的是来自盗号狗的签名嘲讽,可是几分钟后,又被顶了,且密码继续失效
不信邪的我,再次通过验证码改了密码上号,发现那个人又改了签名
这个时候我意识到严重性,开始向官方求助,感谢版主鱼喔喔及时回应了我但是在漫长的等待中,我们家族也在群里讨论这个人是怎么做到的,有的说是熟人恶作剧,有的说是黑客高科技,但是讨论到最后大家确实发现了一个漏洞,这也是这个帖子希望提醒大家的!!!
小白的账号管理中心,有绑定手机、邮箱、密保问题,但是相信大家都和我一样,在此之前也根本没有关心过其他的验证方式,只要有验证码和密码就够了,但是恰恰就是这个不关心,让我们发现了一个问题,就是初次设置密保问题,是不需要通过验证码来进行验证的
也就是说只要有人知道你的账号密码,并且登陆上去,就可以悄无声息给你的账号设置密保问题,然后通过密保问题,可以做到你不知情的情况下修改你的密码有多少号能保证自己的号只有自己能上,没有泄露风险,看到这里,我的建议是,各位号主,先去把自己账号的所有密保(邮箱、密保问题)都设置好,避免出现此类风险,尽可能转到自己家族群内,防止出现更多问题
随后就在昨晚我写这个帖子的时候,花街族长小汤圆的号也被上了,且盗号者肆无忌惮,甚至在群里宣传
我本以为这是个开玩笑的小学生,就去找汤圆验证,结果发现竟然是真的
细思极恐,细思极恐,细思极恐最后还是要给小白提点建议:
比如设置新的密保问题,不用通过验证码就不合理
比如现在通过密码登录,号主再也不会收到提示,什么时间,谁上了号都不清楚
比如想要修改密码,只需要知道原密码即可,不需要验证也不太科学