微博见了鬼了。

之前发现过类似情况
后来抓包看了下，某个浏览器 APP 偷了 token （无法确认是浏览器偷的，还是某个网站找到跨站脚本偷的）
所以干脆把那个浏览器卸了，然后换了 Edge，再也没出现过了

微博很多 api 被非加密的 http 嗅探了。然后你的 cookie 被保存了。别人直接模拟调用 api 就转发了

然后微博 api 5 年前似乎有个老漏洞，只知道手机的 IMEI 就可以换取发帖的 session token 然后模拟发帖。记不清楚了。

之前我的微博老会自动关注和点赞，
在 https://kefu.weibo.com/selfservice 选择修正关注修正粉丝就好了

@nevin47 还有这种操作？跨站脚本感觉换 Edge 也没用吧，老哥还记得是哪个浏览器吗

@koor #3 感谢老哥。已经修正。
@nevin47 #1 难道是 Firefox 的锅 我平常不怎么上微博。也没在浏览器登陆过。估计应该不是这一块的问题
@est #2 主要是不太好排查。。

我有过，然后下载了新浪微盾。。

对，下载微盾，自己锁定账号。只能看，不能评论转发。过一阵子黑产看你的账号没价值了就会放过你。

登 app，在安全设置里面有个一键踢掉全部已登录设备。这个比较靠谱
然后就是取消第三方授权了

不要用 WEB 端登陆！不要用 WEB 端登陆！不要用 WEB 端登陆！

同微盾。就是评论的时候要手动解锁，发完再加锁，有点麻烦，不过不会再关注奇奇怪怪的人了

渣浪的数据库，你只要告诉黑产大佬昵称，人家就能告诉你密码

@v2student #4 手抖打错了，我想说的是跨站漏洞。换了 Edge 之后即使登录 Web 版微博也没再出这种问题了