QQ 出现大规模盗号情况

2022-06-27 03:46:55 +08:00
 mikewang

26 日晚上 11 点左右,我的 QQ 便开始陆续收到好友私聊或者群聊发来的不明图片,直到凌晨 3 点左右这种情况还在持续。

有被盗号的同学说,他在空间看到别人分享的链接,点进去后,QQ 就开始向各种好友发送带有网址的不良图片。QQ 设备锁是打开的,没有在别的地方输过密码,QQ 也未提示异地登录。

有传闻说是学习通的密码泄漏造成了 QQ 被撞库,不知真实性如何。

QQ 空间里有 api 可以向好友发送分享信息。我的猜想可能是链接中有 CSRF ,或者是利用了某些 XSS 的漏洞,绕过了登录,自然设备锁也起不到效果。不知猜的对不对。

另外,这次盗号的规模还挺大的,但因为发生在深夜,很多人都睡着了,号主没察觉到,群主也没撤回消息。年级群的不雅图片还在,不知老师早晨看到会有何感想…

12924 次点击
所在节点    信息安全
59 条回复
mikewang
2022-06-27 03:49:11 +08:00
docx
2022-06-27 03:50:46 +08:00
然后老师发现自己也有一张(
mikewang
2022-06-27 03:53:07 +08:00
上热搜了
PMR
2022-06-27 04:02:05 +08:00
撞库

2 个 Q 龄 15 前几年转投生成密码阵营 不影响
用通用密码时经常被撞库 改单纯密码 换电脑登录就找回••


打开链接 被盗取 cookies 不用绕设备锁 古老而有效的方法
laydown
2022-06-27 05:08:16 +08:00
早就不用 QQ 了。
em70
2022-06-27 06:03:13 +08:00
已经第二次大规模爆发了, 发现被盗的大多是 L1,L2
murmur
2022-06-27 08:13:02 +08:00
也就是说腾讯除了没客服,还没风控?
abc8678
2022-06-27 08:26:21 +08:00
不知道传言是不是真的,说什么新版 QQ 的 0day ,当然他也是传的 不知道是不是谣。我用的是 play 版,昨晚并没有下线过
neutrino
2022-06-27 08:49:18 +08:00
@murmur 有风控的,我想改个密码又是人脸又是好友验证又是环境验证又是曾经用过的密码验证,就是不让改
BobbyTube
2022-06-27 08:50:24 +08:00
据隔壁论坛说,被搞的 很多都是用了代挂平台
xuromky
2022-06-27 08:54:15 +08:00
我开了短信验证登录,应该没问题吧
shintendo
2022-06-27 09:03:24 +08:00
@PMR 不懂就问,网页 cookies 为什么会影响到客户端的设备锁
zanxj
2022-06-27 09:04:49 +08:00
从未被盗、被封过,正常使用中……
starrycat
2022-06-27 09:06:21 +08:00
看到说是 QQ 内置浏览器的漏洞
miyuki
2022-06-27 09:06:23 +08:00
@shintendo 可能有一些 ck 能不受限制
crab
2022-06-27 09:14:10 +08:00
@shintendo 搜索下 qqkey skey 这类关键字,类似百度的 bduss 。
yolee599
2022-06-27 09:16:22 +08:00
怪不得昨天收到了同学 QQ 发的一张无码颜色图
amwyyyy
2022-06-27 09:19:05 +08:00
我这好友上个月底就出现过一波了
shintendo
2022-06-27 09:21:24 +08:00
@crab 看了一下,类似于一个免登录的 token ?而不是撞库后拿密码登录再解决设备锁?
dbskcnc
2022-06-27 09:23:22 +08:00
这漏洞已经存在很久了,一个月前就看到发作,qq 竟然没有认真对待, 封号倒是挺认真

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/862370

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX