观 Apple ID 被盗 请教大家几个问题

2023-05-09 20:46:58 +08:00
 wing2dark

今天在酷安看到这个 Apple ID 被盗的贴子 : https://www.coolapk.com/feed/45865580 本以为开了二次验证就可以安全一些了,我在网上一搜没想到还有挺多人被盗过 Apple ID 导致支付宝被盗刷什么的。有可能是被盗了 cookie ?(电丸、Linus Tech 似乎也是?)

想问大家平时都有什么习惯&工具来保护自己安全冲浪或者隐私?

3108 次点击
所在节点    信息安全
23 条回复
jooks
2023-05-09 20:54:32 +08:00
把 Apple Pay 关了
seres
2023-05-09 21:01:00 +08:00
不太明白开启二次验证的前提下账号如何被登录。。
terence4444
2023-05-09 21:02:39 +08:00
连个论坛都屏蔽境外 IP ?
zakokun
2023-05-09 21:04:56 +08:00
相比于苹果出这么严重的安全问题,我更倾向认为是用户自己泄漏的
ZE3kr
2023-05-09 21:07:49 +08:00
苹果的二次认证可以通过短信的,短信就没那么安全了,但相对也还是安全很多。现在我 Apple ID 改用 YubiKey 了。

然后所有账户密码都用 1Password 存,1Password 自身开启 TOTP 和 YubiKey 。

能开 TOTP/WebAuth 的账户我都开,并且不用 1P 去存这些账户 TOTP 信息,防止 1P 的数据泄漏

然后要经常关注安全邮件吧,苹果谷歌账户新登录都会有邮件提醒的
ZE3kr
2023-05-09 21:10:42 +08:00
Apple Pay 是很难被盗的,因为在新设备上激活 Apple Pay 需要通过银行那边的 2FA ,现在一些银行都要扫脸激活了
ajyz
2023-05-09 21:11:37 +08:00
看完了帖子内容,没看出任何问题,帖主通篇几乎都是各种抱怨,没有提供太多可以思考的内容。我自己知道的可以随意改密码或绕过密保问题(两步验证推出前的安全措施)还是 iPhone4 前后的事了,之后没见过被盗的。里头能想到的唯一可能是有受信设备可能卖 /丢了自己没意识到?他自己说被盗前已经有几个提醒邮件,但他抱怨没有弹窗提醒,更多应该是自己通知设置问题。
ps:里头抱怨异地修改内容没有账号冻结以及支付宝限额额度问题,个人是比较不赞同的,这完全是嫌被管得还不够的自贱心理。
dearmymy
2023-05-09 21:11:47 +08:00
很大概率是注册苹果 id 的邮箱被盗。然后通过忘记密码,或者其他渠道想办法登录的。
信息泄露都成筛子了。
很大概率某些渠道,这个人的邮箱,密码,手机号信息都被泄露,邮箱密码又跟 apple id 密码一致。
苹果安全还是放心。
wofave
2023-05-09 21:19:39 +08:00
@ZE3kr #5 才知道 Apple ID 可以用 YubiKey ,试着配置了一下提示需要两个安全密钥,可惜就买了一个
Lentin
2023-05-09 21:26:35 +08:00
apple 账户第一步,不要用手机号或者第三方邮箱当账号
第二步, 不要用注册的 apple 邮箱注册任何第三方网站,这样除了你以外没有人知道你的账号就避免了账号被盗的可能性。
另外 apple 邮箱可以设置别名,别名是不能当作账号登陆的应该
ZE3kr
2023-05-09 21:31:30 +08:00
@wofave 这是因为如果所有绑定的 YubiKey 都丢后 Apple ID 就再也无法登陆了,所以它就要求俩😂
xtinput
2023-05-09 21:46:46 +08:00
@ZE3kr Apple Pay 被盗只能是设备也被盗了
开了双重认证 AppleID 被盗的 99.9999%是被钓鱼网站把密码和验证码给输进去了
j20001112
2023-05-09 22:01:23 +08:00
@ZE3kr Apple Pay 被盗其实很容易,美国一些小运营商的手机号的 account number 和 PIN 很容易被盗,然后就能携号转网来 sim swap 获得手机号,eSIM 更是秒激活, 有了手机号各大网站 APP 那都是畅通无阻. 还有的华人手机店的运营商手机号也很多诈骗携号转网的. 敏感 Uber 打车碰到个华人司机想美国银行 zelle 发个红包他连手机号都不愿意跟我说,说是华人社区诈骗太多,对方知道你手机号直接就能盗走你的手机号和美国银行 APP venmo paypal 里所有的钱.m.bcbay.com/news/page/453093
j20001112
2023-05-09 22:11:28 +08:00
@dearmymy 应该是 QQ 邮箱被盗,之前 QQ 都很多人被盗. 苹果 find my 查找可以不需要双重认证验证码,防止手机丢了想要查找都查找不了. 然后查找就可以抹掉 iPhone, 最后 AppleID 所有苹果设备都被抹掉了应该就能靠着邮箱和确认手机号找回密码绕开双重认证的验证码 ,确认手机号并不需要原有的手机号的验证码,只需输入手机号就 OK 了,这手机号肯定脱库也很容易获得
@Lentin @ajyz @xtinput @ZE3kr @zakokun @seres
strp
2023-05-09 22:13:30 +08:00
我试了一下,没有办法绕过手机验证码啊,直接重置密码要你输入完整的手机号才能下一步,知道你 Apple ID 账密登录在我的情况下,没有选项可以选通过邮箱接受验证码,输入账密下一步手机就弹窗,你点其他方式只有 SMS/Recover Key 。
j20001112
2023-05-09 22:18:01 +08:00
邮箱被盗就能直接申诉找回 AppleID, AppleID 也不绑定身份证, 邮箱被盗就能通过邮件提供 AppleID 的相关信息进行申诉
wwbfred
2023-05-09 22:18:02 +08:00
@xtinput 这个 99.9999%有点精确啊,剩下的 0.0001%是猜中 6 位验证码了么😂
j20001112
2023-05-09 22:19:10 +08:00
@strp 应该是靠申诉的
j20001112
2023-05-09 22:21:47 +08:00
AppleID 的注册时间,购买的项目等几乎所有信息都能在被盗的邮件里找到,毕竟所有的 AppleID 的通知都会发邮件
ZE3kr
2023-05-09 22:24:13 +08:00
所以我现在手机号开了 Transfer Lock ,转不出去。但之前用的很多小运营商确实没这个功能。不过这跟 esim 没啥关系,实体卡也是秒激活的。Zelle 的话,我每次携号转网 Zelle 都会被风控,手机号还得重新绑定。银行卡的话得看银行了,我的银行激活 Apple Pay 就是通过 App 激活,而不是短信验证码

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/938707

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX