国内近期针对微软账户 Hotmail 进行扫号操作

11 天前
 huangxiao123

原由:昨天晚上的时候,发现微软的 Authenticator 弹出了个莫名其妙的认证请求,一开始疑惑是谁在登录,并且开始回想起本人平常有没有泄露账户,经排查,没泄露过该账户出去,该账户只用于微软家族的产品登录,没用于其他地方,疑似是通过 csrf /数据泄露获取到邮箱号

通过 https://account.live.com/Activity 进行排查,发现两个 IP 登录操作,如下

whois 信息如下

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '114.96.0.0 - 114.103.255.255'

% Abuse contact for '114.96.0.0 - 114.103.255.255' is 'anti-spam@chinatelecom.cn'

inetnum:        114.96.0.0 - 114.103.255.255
netname:        CHINANET-AH
descr:          CHINANET Anhui PROVINCE NETWORK
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        JW89-AP
tech-c:         JW89-AP
abuse-c:        AC1573-AP
status:         ALLOCATED PORTABLE
remarks:        service provider
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-AH
mnt-routes:     MAINT-CHINANET-AH
mnt-irt:        IRT-CHINANET-CN
last-modified:  2021-06-15T08:06:13Z
source:         APNIC

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@chinatelecom.cn
abuse-mailbox:  anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
mnt-by:         MAINT-CHINANET
last-modified:  2024-04-15T01:54:23Z
source:         APNIC

role:           ABUSE CHINANETCN
address:        No.31 ,jingrong street,beijing
address:        100032
country:        ZZ
phone:          +000000000
e-mail:         anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
nic-hdl:        AC1573-AP
remarks:        Generated from irt object IRT-CHINANET-CN
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
abuse-mailbox:  anti-spam@chinatelecom.cn
mnt-by:         APNIC-ABUSE
last-modified:  2024-04-15T01:55:05Z
source:         APNIC

person:         Jinneng Wang
address:        17/F, Postal Building No.120 Changjiang
address:        Middle Road, Hefei, Anhui, China
country:        CN
phone:          +86-551-2659073
fax-no:         +86-551-2659287
e-mail:         ahdata@189.cn
nic-hdl:        JW89-AP
mnt-by:         MAINT-CHINANET-AH
last-modified:  2014-02-21T01:19:43Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '111.126.0.0 - 111.127.255.255'

% Abuse contact for '111.126.0.0 - 111.127.255.255' is 'anti-spam@chinatelecom.cn'

inetnum:        111.126.0.0 - 111.127.255.255
netname:        CHINANET-NM
descr:          CHINANET NeiMengGu province network
descr:          Data Communication Division
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        CH93-AP
tech-c:         CH93-AP
abuse-c:        AC1573-AP
status:         ALLOCATED PORTABLE
remarks:        service provider
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
notify:         cyg@nmgtele.com
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-NM
mnt-routes:     MAINT-CHINANET-NM
mnt-irt:        IRT-CHINANET-CN
last-modified:  2021-06-15T08:05:56Z
source:         APNIC

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@chinatelecom.cn
abuse-mailbox:  anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
mnt-by:         MAINT-CHINANET
last-modified:  2024-04-15T01:54:23Z
source:         APNIC

role:           ABUSE CHINANETCN
address:        No.31 ,jingrong street,beijing
address:        100032
country:        ZZ
phone:          +000000000
e-mail:         anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
nic-hdl:        AC1573-AP
remarks:        Generated from irt object IRT-CHINANET-CN
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
abuse-mailbox:  anti-spam@chinatelecom.cn
mnt-by:         APNIC-ABUSE
last-modified:  2024-04-15T01:55:05Z
source:         APNIC

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         anti-spam@chinatelecom.cn
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
mnt-by:         MAINT-CHINANET
last-modified:  2022-02-28T06:53:44Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)

使用 https://ip.sy/查询的地理位置如下

ASN 均为: AS4134

微步:

腾讯威胁平台:

查询总结:

111.127.50.125 对应 ICP:

两者 IP 只开了 53 TCP + 1041 TCP

疑似是一伙人,不知各位 V 友怎么看待,疑似是国内某个扫号团伙拿到了微软泄露的数据库进行批量登录验证爆破

11133 次点击
所在节点    信息安全
141 条回复
SayHelloHi
11 天前
刚刚登录 发现有多了很多

PbCopy111
11 天前
你们都用 hotmail 注册国外的网站了吧,比如 X 之类的
huangxiao123
11 天前
@PbCopy111 #42 我没有,hotmail 是独立的
dididi9527
11 天前
微软账户这种情况有很多年了,刚看了下我那个在很多地方注册账号时留的主邮箱,这个账号有开 Authenticator ,依然每天有好几次尝试登录,都是密码不正确,全球各地都有包括中国。另外一个很少地方用到的小号,没开 Authenticator 的,却没什么尝试登录。我估计就是其它网站的泄露,然后我的密码都是密码管理器生成的,不会跟那些网站用同一个密码,所以怎么尝试都是密码不正确
Pangdouya
11 天前
遇到了类似的情况,还好两步验证提醒了我。
hazy
11 天前
3 位 live 邮箱表示很多年了一直都有,每小时都有几条来自全世界尝试登录失败的记录,也碰到过几次微软 Authenticator 弹二验的情况,拒绝并改密码就好了。去年换用 bitwarden 复杂随机密码 + 非微软 TOTP 后到现在还没弹过。
life90
11 天前
这下突然发现不是一个人了。看我的 https://v2ex.com/t/1023947
wyf88
11 天前
不说不知道,看了下我的才发现也是从 6 月份开始每天都有登录失败记录。
特别的是,其中一个 alias 是我后面才申请的,印象中只用来注册了两个网站,GitHub 和 Twitter 。从被攻击的群体和动机上,感觉 Twitter 更有可能一些…
你们的邮箱也是用来注册 Twitter 的吗?
uiiytwyfsdtr
11 天前
twitter 的安全是做得特别差的

太多漏洞了

大家在这个平台上面一定要小心
patrickyoung
11 天前
楼主有没有第三方的匿名联系方式,搞一个临时的发一下,我可以给你提供进一步的东西
huangxiao123
11 天前
@uiiytwyfsdtr #49 我感觉是微软数据库被人打了,不然不可能有那么精准的邮箱列表
nothingistrue
11 天前
Microsoft Authenticator (手机应用)对于微软账号来说是免密登陆器,不是 2FA 。对方只要输入邮箱地址,选择用 Authenticator 登录,你的 Authenticator 就会弹登录。你要没注意点了同意,对方就登录上你的账号了。

对方要是买了 Hotmail 邮箱地址,然后脚本逐个去尝试使用 Authenticator 登录的话,真有几率骗几个登录。实际影响应该不大,因为 Authenticator 和邮件都会有异地登录提示,后续改密码等敏感操作,还会再要求登录。但防不胜防,还是高危漏洞,微软要处理的。
huangxiao123
11 天前
@nothingistrue #52 是的,有些马大哈的用户,刚好点中那个 code ,就 G 了
huangxiao123
11 天前
@patrickyoung #50 raxuxommuwaxoi-2217dl@proton.me
huangxiao123
11 天前
@uiiytwyfsdtr #49 感谢提醒
huangxiao123
11 天前
@life90 #47 感谢补充
doyel
11 天前
@bluetree2039 我从年头开始每天固定几次,全球各地 IP 都是尝试密码失败,账户无密码全靠 2FA ,就怕在线 2FA 给端了。。。一点防御手段都没有吗?
patrickyoung
11 天前
@huangxiao123 已发送
huangxiao123
11 天前
@patrickyoung #58 感谢补充,已回信
IV16SL
10 天前
我的账户没有遇到这个问题,前几个月,我把账号区域从香港改到了美国,删除了手机号和密码,改用 Passkey 登录(因此也必须添加微软自己的 Authenticator 兜底)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1051891

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX