V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
subpo
V2EX  ›  V2EX

v2 铜币被盗,想定位一下是 V2EX 的问题还是我账号安全的问题

  •  4
     
  •   subpo · 12 天前 · 9289 次点击
    早上起来领铜币,突然发现我的账号 25 号创建了 10 个邀请码,并且已经邀请了人,金币全部花费一空

    https://ibb.co/tQ2r22B
    https://ibb.co/fY1hL3s

    我的登录方式是 gmail 登录,并且没有下载任何有关 V2EX 的 chrome 插件。
    101 条回复    2024-11-30 18:40:25 +08:00
    1  2  
    docx
        1
    docx  
       12 天前 via iPhone
    也许可以考虑先把这 10 个号 ban 了? @Livid
    BelovedOne
        2
    BelovedOne  
       12 天前
    我的帐号还被盗了呢,可以解决么?
    https://www.v2ex.com/member/westoy
    chaselen
        3
    chaselen  
       12 天前
    这是咋被盗的,插件吗。。?
    subpo
        4
    subpo  
    OP
       12 天前
    @chaselen 不知道,曾经用过 v2 插件,现在没用了。感觉 gmail 登录应该相当安全才对
    threeti
        5
    threeti  
       12 天前
    不一定是 V2EX 相关的插件才会被盗, 其他插件也有可能, 上个月刚被到盗过...
    subpo
        6
    subpo  
    OP
       12 天前
    @threeti 可以告知一下你怀疑的插件名不?
    testonly
        7
    testonly  
       12 天前
    gmail 登录按说么容易盗
    我觉得你还是想清楚插件,也想一下有没有些不是直接 V2 的但是比较小众一点的插件。
    昨天也有人说被盗的,要不被盗的人都将在用的插件贴出来吧
    x86
        8
    x86  
       12 天前
    之前我在 ns 确实看到了扫号的项目,忘记收藏了
    hhacker
        9
    hhacker  
       12 天前
    可能是撞库撞出来的, 就是你的 gmail 被盗了
    shadowyue
        10
    shadowyue  
       12 天前
    v2ex 的邀请很值钱吗,这都有人来偷
    Meld
        11
    Meld  
       12 天前
    建议兑换邀请码流程里加上两步验证
    Baymaxbowen
        12
    Baymaxbowen  
       12 天前
    这还有人盗号吗
    BeforeTooLate
        13
    BeforeTooLate  
       12 天前   ❤️ 1
    @guimahuangzi @yiiiddd @oyoo @ramieztwyla18117 @z2663219537 @gofast1314 @gezuao @maintiao123 @acblockers @AslieNaim 你们账号是直接购买的吗?什么途径注册的,OP 账号被盗,你们方便可以提供下信息。
    phpdever
        14
    phpdever  
       12 天前   ❤️ 1
    v2 的邀请码,在闲鱼上平均售价为 30 ~ 50 人民币一个,所以铜币还是有一定经济价值的。
    subpo
        15
    subpo  
    OP
       12 天前
    @hhacker gmail 不太可能被盗,开了 2fa 的,如果有外部登录我的手机上能看到通知和确认
    somebody1
        16
    somebody1  
       12 天前
    @BeforeTooLate
    看这名字就像是批量注册的

    站长后台能看到更多的注册信息,邮箱啊,IP 地址啊,肯定能看出来
    punish19
        17
    punish19  
       12 天前
    @phpdever 这么贵的啊?难怪经常看到一些高度可疑的水贴。
    falcon05
        18
    falcon05  
       12 天前 via iPhone   ❤️ 6
    @phpdever 那站长可以印钱了
    subpo
        19
    subpo  
    OP
       12 天前
    我设想了一下所有情况,最有可能的是老密码不安全了,我注册的比较早,那时候确实没有安全意识,用的比较简单的密码。后面用 gmail 登录后忽略掉了。

    我想恳请 @livid 帮我排查一下是否是有人通过密码登录了我的账号,如果有保留记录的话,从 ip 上应该能看出来?这对我非常重要 🙏
    becomesilent
        20
    becomesilent  
       12 天前
    用几年了一个金币都没得😂
    GensKinsey
        21
    GensKinsey  
       12 天前
    下没下过手机端的 app ?
    ramieztwyla18117
        22
    ramieztwyla18117  
       12 天前 via iPhone
    @BeforeTooLate 我自己注册的,邀请码是闲鱼买的
    ramieztwyla18117
        23
    ramieztwyla18117  
       12 天前 via iPhone
    @GensKinsey App Store 商店下载的手机端 APP 不安全吗?
    renmu
        24
    renmu  
       12 天前 via Android
    @ramieztwyla18117 并没有所谓的官方客户端
    ramieztwyla18117
        25
    ramieztwyla18117  
       12 天前 via iPhone
    @renmu 我在商店下载了啊,登录上来是一样的,难道是钓鱼的😰我卸载改密码了
    ljhrot
        26
    ljhrot  
       12 天前 via iPhone   ❤️ 4
    建议限制创建邀请码的频率,比如 1 个月只能创建一枚邀请码 @Livid
    Vraw5
        27
    Vraw5  
       12 天前
    @ramieztwyla18117 #25 V 站只有 web 页面,其他都是私人搞的
    rainfallmax
        28
    rainfallmax  
       12 天前
    我一直 Gmail 登录的,突然有一天登录变成新账号了。然后给站长发邮件,站长给处理了,说我账号被盗登录邮箱被改了。
    linstrong
        29
    linstrong  
       12 天前
    竟然有这么多金币,厉害👍
    gbadge
        30
    gbadge  
       12 天前
    一般是自己的失误,可能你有安全不到位的地方
    ryalu
        31
    ryalu  
       12 天前
    @gbadge #30 希望你一直能安全到位.....
    GensKinsey
        32
    GensKinsey  
       12 天前
    @ramieztwyla18117 当然不安全。v 站没有官方客户端,那些 app 都是套壳的,你用户名密码直接进人家数据库了。
    skydcnmana
        33
    skydcnmana  
       12 天前
    @BelovedOne 我之前也被人盗号,莫名其妙,也是没人管: https://www.v2ex.com/t/1023613#reply2
    skydcnmana
        34
    skydcnmana  
       12 天前
    @BelovedOne 另外我也一直在用插件
    JKeita
        35
    JKeita  
       12 天前
    找 @Livid 处理
    mcluyu
        36
    mcluyu  
       12 天前
    啊,我现在才知道一个邀请码这么贵, 要 1 个金币。。。 你金币还挺多的
    yuhaofe
        37
    yuhaofe  
       12 天前
    你这邮箱关联账号泄露的挺多的,估计随便用个免费的库都能查到你用过的密码

    subpo
        38
    subpo  
    OP
       12 天前
    @yuhaofe 嗯嗯,我知道,查询过已经是好久都不用的密码了
    frankilla
        39
    frankilla  
       12 天前
    一直用 v2next 插件。
    sky3hao
        40
    sky3hao  
       12 天前
    话说这铜币能买馒头吗?
    dcdc6
        41
    dcdc6  
       12 天前
    我之前的 v2 号,也是莫名其妙丢了,直接显示用户名不存在,但我可以确定是 100%没有记错用户名,因为记录进密码软件了。
    [email protected] 发邮件也没有回信,不了了之了
    chihiro2014
        42
    chihiro2014  
       12 天前
    @yuhaofe 这是啥网站?
    shwomen1234fs
        43
    shwomen1234fs  
       12 天前
    Xu3Xan89YsA7oP64
        44
    Xu3Xan89YsA7oP64  
       12 天前
    @dcdc6 #40 有没有可能是被永封了
    potatowish
        45
    potatowish  
       12 天前 via iPhone
    @sky3hao #40 我只知道比特币可以买披萨
    maintiao123
        46
    maintiao123  
       12 天前
    @BeforeTooLate 我也是咸鱼买的
    Livid
        47
    Livid  
    MOD
       12 天前   ❤️ 8
    @docx 谢谢,这 10 个账号已经被彻底 ban 。
    Livid
        48
    Livid  
    MOD
       12 天前
    @subpo 你的账号在 11 月 25 日被 IP 116.48.38.206 (UA: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36) 用密码登录成功。
    Livid
        49
    Livid  
    MOD
       12 天前   ❤️ 3
    为了提醒更多人注意密码安全问题,这个主题会被置顶一段时间。
    wunonglin
        50
    wunonglin  
       12 天前
    @Livid 建议生成邀请码可以视为高风险操作,需要验证二次验证
    Livid
        51
    Livid  
    MOD
       12 天前   ❤️ 3
    @wunonglin 如果账号之前就没有启用 2FA ,被盗号者拿到密码,然后登录进来,盗号者用自己的设备开启 2FA ,依然无解。

    V2EX 很多年前就有 2FA 功能,但我们没有强制所有账号必须用。

    说到底这是每个人自己的选择。
    wunonglin
        52
    wunonglin  
       12 天前
    @Livid #51 或者是生成邀请码后,需要发送一个确认邮件以及一个“冷静期“,比如 24 小时。这样生成后,需要用户自己进入邮箱确认,以及在“冷静期”内可以撤回生成,这样可以有一个二次确认以及缓冲的时间。
    wunonglin
        53
    wunonglin  
       12 天前
    @Livid #51 生成邀请码的频率也可以做个限制。
    chenqh
        54
    chenqh  
       12 天前
    居然有 10 个金币,我才 4 个.
    Livid
        55
    Livid  
    MOD
       12 天前   ❤️ 37
    新的限制上线:

    邀请码创建功能现在需要在打开 2FA 功能 90 天之后才能使用。
    Cheons
        56
    Cheons  
       12 天前 via Android   ❤️ 5
    @Livid
    不能因噎废食,一刀切吧。。。
    说到底 OP 是自己的密码管理有问题。
    自己的事情自己的选择,自己承担。

    短时间多次生成邀请码 or 生成三个以上邀请码启用 2FA ,是否更合理?
    ariza
        57
    ariza  
       12 天前 via iPhone
    @ramieztwyla18117 已经被 ban 了
    gbadge
        58
    gbadge  
       12 天前 via iPhone
    @Cheons 就这样,蛮好,别再麻烦人站长了
    ssh
        59
    ssh  
       12 天前
    @ljhrot 典型的不解决根本问题
    gegeligegeligo
        60
    gegeligegeligo  
       12 天前
    @yuhaofe #37 这个在哪里查的
    MXMF
        61
    MXMF  
       11 天前
    把 @ramieztwyla18117 BAN 掉之后 就找不到源头了吗不是,完全可以找这个购买者 查到这个盗号的闲鱼,然后购买邀请码的人,看是否是同一个闲鱼账号,这样最起码能找到相关人员,就算不是盗号的也肯定是合作者,这一下子 BAN 掉,线索断掉了
    ChrisFreeMan
        62
    ChrisFreeMan  
       11 天前
    我还是很佩服这些人,哪里有利益就能摸到哪里。执行力能力很强。
    MartinWu
        63
    MartinWu  
       11 天前
    啊?原来邀请码也能卖钱?
    chanChristin
        64
    chanChristin  
       11 天前
    @Cheons 还行吧,邀请码说实话也挺贵的
    loopq
        65
    loopq  
       11 天前
    看了一眼咸鱼价格,标价 30 ,还挺贵的~
    xiangbohua
        66
    xiangbohua  
       11 天前
    @ChrisFreeMan 是啊,要不怎么他们发财呢。哎,话说就这个回复,我距离 50 快又远了一点
    subpo
        67
    subpo  
    OP
       11 天前
    @Livid 感谢感谢,看来是遗留的弱密码问题
    kepenj
        68
    kepenj  
       11 天前
    注册了快 10 年了,一个金币都还没攒够的路过~~
    HojiOShi
        69
    HojiOShi  
       11 天前
    @Cheons #56 本来生成邀请码应该就是慎之又慎的操作,现在还能拿来卖钱,那宁可策略更加严格一点,也不能给偷盗者可乘之机。
    FakerLeung
        70
    FakerLeung  
       11 天前
    没想到我的金币都能值个 200 块
    66beta
        71
    66beta  
       11 天前
    这里是不是有什么我不知道福利板块?这么诱人犯罪?
    COW
        72
    COW  
       11 天前 via Android
    额,v2 的金币有啥用?
    wjup
        73
    wjup  
       11 天前
    @Livid #49 创建的邀请码一直未使用,刚开启了 2FA ,90 天后这个邀请码还会保留着吗
    nikenidage1
        74
    nikenidage1  
       11 天前
    @BeforeTooLate 已经被封了
    vsitebon
        75
    vsitebon  
       11 天前
    @COW #66 购买邀请码 https://www.v2ex.com/t/1037849
    BeforeTooLate
        76
    BeforeTooLate  
       11 天前
    @nikenidage1 封了没啥问题,去咸鱼购买邀请码,和注册需要邀请码的设计相违背
    whyshijei
        77
    whyshijei  
       11 天前
    还没见过金币长什么样
    kingpo
        78
    kingpo  
       11 天前
    @subpo #4 开了两步 验证了吗
    Tink
        79
    Tink  
       11 天前
    @subpo #19 这没啥用啊,都是通过代理访问的,只能查到机场呀
    Tink
        80
    Tink  
       11 天前
    @Livid #55 我觉得很好的策略啊,比邮件二次确认靠谱多了
    Livid
        81
    Livid  
    MOD
       11 天前
    @wjup 不影响已经创建的。但是如果要创建新的,需要在 2FA 开启 90 天之后。
    lanbin07
        82
    lanbin07  
       11 天前
    @Livid 今天刚注册进来的,我还好奇以前怎么没人提过邀请码需要 90 天,没想到是 16 个小时前的事情😂
    Livid
        83
    Livid  
    MOD
       11 天前
    @lanbin07 我看了一下你的邀请链,你的邀请码是怎么获得的?
    lanbin07
        84
    lanbin07  
       11 天前
    @Livid 这个邀请码是我从咸鱼上买的,我问了身边搞技术的大家都说不用 V 站,我一般遇到邀请码问题都直接上淘宝或者咸鱼了,今天下午刚刚买的
    Livid
        85
    Livid  
    MOD
       11 天前
    @lanbin07 所以是邀请你的 @soarscnu 在 11 月 21 日附近被盗号了。
    lanbin07
        86
    lanbin07  
       11 天前
    @Livid 啊啊,是这样的吗……我以为大家都是自己创建的邀请码拿出来分享的,没想到还真的有人盗号来卖…… 我的邮箱就是注册的这个邮箱,可以联系我邮件
    lanbin07
        87
    lanbin07  
       11 天前
    @Livid 请问这件事是否有补救的方法?我是之前在网上求助技术问题时看到的 V 站,读完回复之后发现这是一个特别好的社区,但是因为当时注册就要邀请码了就一直觉得很可惜,这两个月我都在问身边人有没有邀请码,直到昨天晚上我朋友跟我说可以去看看其他论坛或者咸鱼有没有大佬分享,我就去买了一个激活码。其实这么好的社区需要邀请码注册还是挺可惜的,而且也确实给了不法分子钻空子牟利的机会,最后账户被封禁也是让想要加入 V 站的用户承受了损失。虽然我能理解购买邀请码的行为对于社区肯定是有非常大的不利影响的,而且这也与邀请码的设立初衷相违背,但是在已经有大量不法分子通过盗号等方式去偷窃邀请码,并为自己谋利的行为本身就是对邀请码这一机制的利用,也会让不真正了解邀请码机制背后设立原因的新人遭到“诈骗”(或者我可以叫他“洗钱”,就是把赃款变成可以花的钱)。

    我接受 V 站后续对本账号的处罚,但也希望可以加入这个技术社区,也希望 V 站越来越好。
    Livid
        88
    Livid  
    MOD
       11 天前
    @lanbin07

    说实话,我不觉得你做错了什么。

    目前这个情况我也觉得非常一言难尽。

    开始邀请码机制的原因是想挡住 spam ,没有人想浪费每天的宝贵生命去阅读或者处理大量的 spam 。

    然后有了邀请码机制。

    spam 数量目前其实确实降下来了,大家也可以看到已经很久没有那类柬埔寨招聘帖了。

    但是有一些新的问题。

    继续靠升级代码来解决吧,比如今天上线的 2FA + 90 天机制。
    lanbin07
        89
    lanbin07  
       11 天前
    @Livid 确实,另外对于邀请码的生成加上两步验证会不会可以解决这类问题?不过今天的 90 天限制加上后应该盗号生成邀请码的问题就不会再发生了(除非 2fa 密钥泄漏)

    我刚刚想到的一个方法是在生成邀请码的时候要求输入 2fa 的验证,这样也能一定程度上避免被“插件”和因为登录凭证等问题被盗号造成的金币损失。

    不知这样的方法实现起来难度大么?我觉得加上 2fa 保护会好一点,毕竟邀请码都是邀请认识的人,生成邀请码肯定也是一个严肃的过程,所以输入两步验证看起来并不会降低邀请码生成的效率(因为本身也不需要高效率生成邀请码?)
    xfelix
        90
    xfelix  
       11 天前 via iPhone
    看这个帖新增了两个知识点:1.铜币竟然有用. 2.网站竟然支持 2FA.
    lanbin07
        91
    lanbin07  
       11 天前
    总结了一下这件事,写了一条主题: https://v2ex.com/t/1093491
    saranz
        92
    saranz  
       11 天前
    还好大号金币不多。
    ForgetFim
        93
    ForgetFim  
       11 天前
    @Livid
    V 站能不能增加安全密钥登录
    ForgetFim
        94
    ForgetFim  
       11 天前
    @subpo
    开了 2fa 对方是怎么做到的
    ForgetFim
        95
    ForgetFim  
       11 天前
    @lanbin07 支持 Passkey 就好了
    Citrus
        96
    Citrus  
       11 天前 via iPhone
    @Livid 试了一下,目前改密码和开启 2FA 似乎都只需要密码,这个可能有点问题?如果密码泄漏了,那盗号者就可以直接改密码,开 2FA 。
    好像一般情况下,2FA 开启之前,强制一个邮件验证码会更保险?印象中很多网站都是这么要求的。
    fkdtz
        97
    fkdtz  
       11 天前
    通过这篇帖子我才知道,新号注册需要邀请码了,这样挺好的,姿瓷
    xfelix
        98
    xfelix  
       10 天前
    不知道是不是网站的时间同步有些差异,我用微软的 Authenticator 作为 2FA 的 totp ,在操作需要 2fa 验证码的时候,有将近 1/3 的几率提示验证错误。在这个时候退出,重新登录往往可以成功。也不知道是 cookie 或者 session mgmt 有些问题?大家碰到过吗?
    Licsber
        99
    Licsber  
       10 天前
    mt 的邀请码用过好多次 v2 的倒是一次没用过
    感觉身边有能力访问到这的人一般都注册过了
    金币目前只用来置顶帖子
    hideonwhere
        100
    hideonwhere  
       10 天前
    2FA 好像有时间戳 bug ,我 github 上的码一直提示错误,现在也无法登录要等重置时间。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5237 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 01:33 · PVG 09:33 · LAX 17:33 · JFK 20:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.