被盗号了，请问有没有可能通过 VPN 截取同样线路用户的 cookie？

imdong

2021-07-27 13:44:17 +08:00

同线路其他人可能性不大，但服务端上还是有可能的。

不过我倒还真不清楚 https 会不会被服务端捕捉。

learningman

2021-07-27 15:15:03 +08:00

https 是安全的，检查下你自己电脑上是不是有病毒吧，或者导入了来历不明的 CA ？

qq316107934

2021-07-27 15:16:18 +08:00

话说二部验证关闭不需要手机验证的吗... 或者一些其他验证

leloext

2021-07-27 15:21:08 +08:00

顶 2 楼+1，另外有没有在路由器上面安装去广告的东东，特别是去 https 广告的。

freeduke

2021-07-27 15:23:02 +08:00

谢谢各位！我再查查，这条网有公网 ip，路由也比较特别，说不准真是理由上的事儿。

freeduke

2021-07-27 15:33:00 +08:00

@qq316107934 这也是我很纳闷的一点，按照道理关闭二次验证应该先通过验证才行，或者像你说的有短信验证码，但对方就是做到了…

MengiNo

2021-07-27 15:38:05 +08:00

@freeduke 微软苹果谷歌这种国际品牌的两步都是 n 选 2，只要你掌握密码 + 邮箱或短信或两步验证器或恢复码或手机系统级验证或硬件加密器或 .... 中的任意一个就属于通过。

jalen

2021-07-27 15:44:59 +08:00

@MengiNo #7 不是 [邮箱和密码] 再加二次验证吗？

Kahnn

2021-07-27 15:45:28 +08:00

没可能，https 就是防范这种攻击的，但是如果你的酸酸乳客户端有什么猫腻，或者电脑上有些什么软件就不一定

0TSH60F7J2rVkg8t

2021-07-27 15:50:36 +08:00

排查下你浏览器的插件和扩展

MengiNo

2021-07-27 16:27:30 +08:00

@jalen 正常登录流程是账号 + 密码 + n 选 1，如果忘了密码要重置密码就是账号 + n 选 2 。所以说白了就是 n 选 2，只是密码作为最常用的缺省选项罢了。并不是密码 + 1 = 2FA，是 n 选 2 = MFA，各项资料的权重完全相等的。而国内厂家基本只认短信，其他信息几乎形同虚设，一言不合就要人脸、手持身份证，脸都不要了。

pabupa

2021-07-27 17:01:47 +08:00

@ahhui 扩展能改左上角的🔒标吗？

freeduke

2021-07-27 19:06:37 +08:00

初步查了一下路由器，发现之前开过一个远程桌面的端口映射到公网，虽然端口号换了，但桌面电脑的登录密码很简单，说不定是从这里被搞的，现在还不能 100%确定……

steam 、任天堂、PlayStation 账号的密码都暴露了，收到了修改邮箱密码的验证 email，不过都有二步验证，暂时没有损失。

还是想不明白 Google 账号怎么能绕过二步验证直接删手机、关二步。

freeduke

2021-07-27 19:07:22 +08:00

@leloext 谢谢提醒，查路由器还真查出来点东西。如楼上。

freeduke

2021-07-27 19:09:27 +08:00

@ahhui 感谢提醒，浏览器的插件扩展应该没问题，我的 chrome 插件全都是官方商店的，没有装过第三方的。不过还是感谢你~

xxb

2021-07-28 13:07:41 +08:00

如果黑客能登录你的桌面电脑，一切都在你电脑上操作，二步验证也防不住了

freeduke

2021-07-28 17:40:31 +08:00

查了下 Windows 自带的 Log，子项有个 Security，前几天确实有很多“Failure”的登录，看明细都是尝试用 Administrator 账号登录，这些应该都是网上扫端口的 bot 干的。

直接删掉了路由器的本机远程端口的映射，开了一天果然只有三四个“Failure”登录，这估计是内部服务之类的。

Windows 远程登录端口暴露在外网导致的密码泄露基本坐实。

也想通过这个事件提醒大家，自己开远程桌面到公网，改端口基本没什么卵用，迟早会被扫到，切记一定一定要设个强的登录密码！ Administrator 账号也要关闭掉。

leloext

2021-07-28 23:35:37 +08:00

@freeduke 真没想到是这个，请问转发是设了数字比较大的高位端口吗？