昨晚大概是9点左右,我上号发现家族一个号 “工口先生” 退出家族
这个号的号主是家族王牌头目
当时其实我也没有多想,因为懒鱼这个号作为团本号,太多人知道账号密码了,可能就是哪个人想开出去玩玩,忘了告诉我,这个可以后面解决,之后我就打算上号看看到底怎么回事,可怕的现在才开始
我上号发现,密码被改了!我上不去了!
但是这个时候我还是没有意识到严重性,因为如果知道账号密码,登陆上去,是可以直接通过密码来修改密码的,然后我通过验证码修改密码上了号,发现名字被改了,家族也是强退的
本以为事情就告一段落了,但是!就在短短几分钟之后,我被挤下线了,再次登录发现密码又被修改了,这个时候我才真正开始慌了,他一不知道新的密码,二也不可能收到验证码,怎么做到的?
且当我再次通过验证码修改了密码上号后,发现的是来自盗号狗的签名嘲讽,可是几分钟后,又被顶了,且密码继续失效
不信邪的我,再次通过验证码改了密码上号,发现那个人又改了签名
这个时候我意识到严重性,开始向官方求助,感谢版主鱼喔喔及时回应了我
但是在漫长的等待中,我们家族也在群里讨论这个人是怎么做到的,有的说是熟人恶作剧,有的说是黑客高科技,但是讨论到最后大家确实发现了一个漏洞,这也是这个帖子希望提醒大家的!!!
小白的账号管理中心,有绑定手机、邮箱、密保问题,但是相信大家都和我一样,在此之前也根本没有关心过其他的验证方式,只要有验证码和密码就够了,但是恰恰就是这个不关心,让我们发现了一个问题,就是初次设置密保问题,是不需要通过验证码来进行验证的
也就是说只要有人知道你的账号密码,并且登陆上去,就可以悄无声息给你的账号设置密保问题,然后通过密保问题,可以做到你不知情的情况下修改你的密码
有多少号能保证自己的号只有自己能上,没有泄露风险,看到这里,我的建议是,各位号主,先去把自己账号的所有密保(邮箱、密保问题)都设置好,避免出现此类风险,尽可能转到自己家族群内,防止出现更多问题
随后就在昨晚我写这个帖子的时候,花街族长小汤圆的号也被上了,且盗号者肆无忌惮,甚至在群里宣传
我本以为这是个开玩笑的小学生,就去找汤圆验证,结果发现竟然是真的
细思极恐,细思极恐,细思极恐
最后还是要给小白提点建议:
比如设置新的密保问题,不用通过验证码就不合理
比如现在通过密码登录,号主再也不会收到提示,什么时间,谁上了号都不清楚
比如想要修改密码,只需要知道原密码即可,不需要验证也不太科学