近期大量账号收到了来自各家网络平台的安全风险提醒,集体沦陷。我的信息是否泄露了?

297 天前
 3nit

从去年 11 月开始到现在,我在大陆外的互联网平台注册的账号陆续收到了安全风险提醒的邮件,包括 Google ,Microsoft ,Github ,ebay ,Twitter ,Amazon ,Cloudflare ,Ubisoft ,Facebook ,LinkedIn ,Reddit ,Steam ,Rockstargames, Splashtop 甚至 temu 。

开始我没太在意,以为只是因为代理节点频繁更换而已,但是最近几天我甚至在凌晨睡觉时收到了快手、微信的登录验证码,我的学校.edu.cn 邮箱也有可疑行为,网上查了一下貌似是有 spammers 用了我的 smpt 。

好在我只在 Google 上绑定了付款方式,并且我先前就已经启用了 Google 和 Microsoft 的两步验证,Google 直接把我的登录设备全部下线了,出于安全起见,我基本上都修改了这些账号的密码。

邮件内容基本上是提醒我的账号有可疑行为、被异地登陆了,或者要求我改密码,根据邮件提供的 ip 地址我查到访问地点有香港、新加坡、美国、柏林、莫斯科等,ipv4 与 v6 地址均有出现,登录设备多数都是“Mozilla/5.0 (Linux; Android 10; K)”或“Mozilla(Linux)”,也有其他的但是基本都和我的设备对不上。

我可以确定请求验证码这类的行为我没有执行过,有的账号比如 LinkedIn 、temu 我近期甚至没有使用过,最近一年多也并没有更换机场,在用的两个机场也不提供柏林、莫斯科节点,并且近期我只用过我的 Windows 电脑和我的 Android 13/14 手机、平板在 Chrome 上登陆过这些账号,我的电脑、手机、还有一台 Linux NAS 上安装了 Firefox ,但我几乎不用来访问公网也并没有登陆过帐号。所以我推断我的信息有可能是泄露了。

我一直在使用 Chrome 的密码管理器管理密码,电脑安装了火绒,手机上也没有安装那个软件。我各个平台的密码不同但是有统一的形式(为了好记),我怀疑这也是我的账号短期内大规模沦陷的原因之一。

之前听说过 Chrome 管理密码不安全但是对账号安全性没太多注意并,且习惯原因没法脱离。不知道各位有什么想法,比如账号可能是怎样被窃取的;或者建议,比如密码管理和信息安全有什么要注意的点。

谢谢各位!

2683 次点击
所在节点    问与答
35 条回复
3nit
297 天前
@wjfz 这一点也很重要。我之前确实有在网上找盗版 Windows 软件用的经历,但是时间有点久我暂时不好确定,手机和平板都没有解 OEM 锁,我认为应该还是比较安全的。通过机场泄露这点,我不是很懂这方面,我的理解是密码很少有不走 SSL 加密的机场没法拿到明文吧。
另外可以排除被人针对。
3nit
297 天前
@totoro625 这个选项我貌似很久前就打开过自己忘记了,确实是依旧能获取到密码
3nit
297 天前
@FPL 思路很对,不过我只用过 Chrome 的密码管理器,好像从密码管理器这儿泄露的这个角度没有别的选项。。。
3nit
297 天前
@maggch97 那看来还是快点从 chrome 迁移出去比较好,不过不用电脑还是不现实。。。
3nit
297 天前
@whathappen 但是好方便,并且现在人人都是好几百个账号密码,安全性上来说又要最好不重复,不用不现实。。。
3nit
297 天前
@tsinglinrain 正在考虑换到其他的管理工具,目前试了试 Bitwarden 觉得还是不如 chrome 的方便。另外国内互联网平台没几家支持 2fa 的挺无语的。
totoro625
297 天前
@3nit #26 主要是解决电脑干不干净的问题,其次再解决密码管理器的问题

试试 1password ,就是比较贵
3nit
297 天前
@totoro625 打算重装下 Windows 了,不过今天试了好几个密码管理,也包括 1password ,在 Android 上都不太好使,登录某些网页时候弹不出自动填充,有点迷茫了。
maggch97
297 天前
@3nit 如果设备是 Mac 或者 Windows ,很难说到底设备是不是安全,因为不可避免要安装第三方软件。即使是开源的,也没办法保证开源代码或者说打包 pipeline 是不是有问题。

数据越来越重要,看过越来越多的数据泄漏事故之后,我觉得最好的做法就是所有涉及账号密码之类敏感数据的操作都放到 iPad 上,至少我可以确认,即使我乱下软件,只要不装浏览器插件,iPad 就是 99.999%安全的。Mac 的 Safari 安全性也是足够的,但是其他方面安全性也不比 Windows 高多少,所以还是一步到位 iPad 吧
maggch97
297 天前
@3nit 使用各种奇奇怪怪的密码管理器,不说管理器本身的安全性。填入 Chrome 的密码,Chrome 的 cookie 可都是能被随意窃取的。
Great233
296 天前
前几天 Microsoft 账户也被登录两次,定位是在肯尼亚和印尼,密码管理器一直用的 Microsoft Authenticator
电脑都好久没开了,不知道哪里泄露出去的
whathappen
296 天前
这些大厂都是看起来很规范,很安全。
当年的 MSN 就是用明文传聊天内容的(代理端可以看到所有人的聊天),而 QQ 则当时已经加密聊天内容了。

现在 Chrome 保存的密码这么简单就可以被复制走了。
3nit
295 天前
@maggch97 这个思路有点意思,但就还是并不方便,和把帐号密码抄在纸上好像没有区别。。。
3nit
295 天前
@whathappen 不太明白为什么这么久了谷歌还是没有重视这个问题。。
huntagain2008
294 天前
我的 Epic 账户可能被删除(没有保留购买记录,不知道怎么通过官方客服找回)。Epic 账户我近 2 年没登过,注册的邮箱帐号现在都记不得了,刚刚重新输入印象中的电子邮箱只有直接注册选项,没有登入了。
(所以 Epic 我是再也不会去用了)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1012988

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX