QQ 信箱存在 xss 漏洞导致 apple id 被修改密码

前不久 iphone 被偷了，于是我打开了丢失模式。最近一直收到假冒成 apple 的钓鱼邮件试图骗取我的 apple id 密码来解锁手机。

之前的邮件都是通过假装成 icloud 的登陆界面来诱骗输入账号密码，于是没有上当。 但是今天收到的一封邮件最终还是击败了我：

习惯性地点开链接之后不到一分钟，微信就收到提醒： qq 信箱在异地登陆。 在过了不到一分钟， mac 弹出提示需要重新输入 appid 密码

到这个时候我才反应过来：刚刚打开的页面中带有 xss 攻击代码，导致对方得到了 qq 信箱的权限，然后再通过 qq 信箱重设我的 apple id 密码，最终将丢失的手机成功解绑。

赶紧登陆到 qq 信箱，果然在垃圾箱里看到有 apple 发来的密码修改成功的提示邮件。

这个故事告诉我们， qq 信箱有多安全。 得到几点教训：

1. 重要的账号千万不要用 qq 信箱以及某些其他国产信箱
2. 垃圾邮件还是不要手贱随便点
3. 千万不要高估某些中国互联网巨头的技术实力