V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
maowenjie
V2EX  ›  信息安全

想不通 为什么 outlook 被盗

  •  2
     
  •   maowenjie · 2019-02-04 15:03:59 +08:00 · 8809 次点击
    这是一个创建于 2111 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天我 coinpayments bitpay 里被盗了 0.2 个比特币 心好痛 看了邮件发现被重置了密码 然后提现了

    账户名我是用 outlook 的邮箱 没有开 POP,看了最近活动记录 也没有异地登录 我自己一直是网页登录的 那个重置密码要求的二次验证的邮件也是未读状态

    不知道黑客如何获得那个二次验证的内容 想不出啊

    难道 OUTLOOK 本身被黑了?

    39 条回复    2019-02-06 09:34:04 +08:00
    xuanhh
        1
    xuanhh  
       2019-02-04 15:44:18 +08:00 via Android
    自动加载邮件中的网址进行安全防护?
    maowenjie
        2
    maowenjie  
    OP
       2019-02-04 15:48:27 +08:00
    @xuanhh 不理解啊

    coinpayments 密码应该没泄露
    因为黑客直接 使用忘记密码 来重置密码的
    问题是 我在 outlook 里看到那封重置密码的邮件 是未读状态
    我就不理解他怎么拿到重置连接了

    我现在怀疑 outlook.com 已经不安全了
    黑客估计直接从服务器上读取
    我邮箱只在网页登录 而且未开通 POP
    qwertyuiopjx
        3
    qwertyuiopjx  
       2019-02-04 15:56:34 +08:00 via Android
    会不会是读完之后 标记上未读?
    ladypxy
        4
    ladypxy  
       2019-02-04 16:04:47 +08:00 via iPhone
    也有可能是网站有漏洞,直接跳过了 2 次验证啊
    maowenjie
        5
    maowenjie  
    OP
       2019-02-04 16:17:48 +08:00
    @ladypxy 不可能吧 因为 2 个网站同时被重置密码
    maowenjie
        6
    maowenjie  
    OP
       2019-02-04 16:18:54 +08:00
    @qwertyuiopjx 有点多此一举吧 那干脆直接删除好了
    我还不好发现
    幸亏大年 30 闲的慌去看了下
    不然过完年损失更大
    maowenjie
        7
    maowenjie  
    OP
       2019-02-04 16:20:58 +08:00
    我查了了 outlook 最近登录的信息 发现都是自己的 IP
    没任何问题
    frylkrttj
        8
    frylkrttj  
       2019-02-04 16:23:20 +08:00
    二次验证都是假的吧
    geelaw
        9
    geelaw  
       2019-02-04 16:40:55 +08:00
    有可能是盗取 cookie、在你的电脑上埋下木马、钓鱼等。想要看一封邮件也不需要打开它——比如查看预览文字,其他人提到的读了再设回去也可能,还有可能就是使用了不会迅速自动标记已读的查看方式(例如 Outlook 2016 默认会在焦点移动后才标记)。

    如果 Outlook dot com 的安全性有问题那就不会是比特币这么简单了——几乎所有 Office 365 用户都会面临问题。
    maowenjie
        10
    maowenjie  
    OP
       2019-02-04 16:48:46 +08:00
    @geelaw 我用的是 360 安全浏览器 访问的是 outlook dot live dot com

    就算盗取 COOKIES 应该也会异地登录啊
    我也在想电脑被黑 有木马,但是有木马的话 操作我的电脑 邮件至少是被读了
    邮件应该是预览不到的 验证是个超链接

    所以我实在想不通
    maowenjie
        11
    maowenjie  
    OP
       2019-02-04 16:55:07 +08:00
    @geelaw 被设置回阅读状态有可能 但感觉不合逻辑 因为直接删除更好
    crab
        12
    crab  
       2019-02-04 17:00:09 +08:00
    看下有没有设置转发了?
    cdwyd
        13
    cdwyd  
       2019-02-04 17:03:02 +08:00
    可能是自己干的呢?
    orangeade
        14
    orangeade  
       2019-02-04 17:11:32 +08:00
    机器上操作系统安全吗
    0TSH60F7J2rVkg8t
        15
    0TSH60F7J2rVkg8t  
       2019-02-04 17:14:34 +08:00
    登录 account.microsoft.com ,点击隐私,滚动下来,在“应用和服务下面”,找到“管理允许访问你的数据的应用和服务”的链接,点击进入,看看你都授权谁能收你的邮件了。
    zerozerone
        16
    zerozerone  
       2019-02-04 18:07:33 +08:00 via Android
    有 0day 吧估计
    maowenjie
        17
    maowenjie  
    OP
       2019-02-04 19:42:54 +08:00
    @ahhui 没有内容
    我这个邮箱 只在网页登录 其他都没用过
    maowenjie
        18
    maowenjie  
    OP
       2019-02-04 19:43:16 +08:00
    @crab
    没有转发 设置全部查看了
    maowenjie
        19
    maowenjie  
    OP
       2019-02-04 20:29:11 +08:00
    我来捋一下

    我有个 [email protected] 邮箱 (设置了安全邮箱)
    这个邮箱我只用网页登录( 360 安全浏览器) POP 等都是关闭状态

    查看了邮箱的最近登录 都是我直接本地的中国 IP
    也查看了转发 没有设置转发


    这个邮箱我注册 coinspayment 和 bitpay,用来收比特币
    昨天显示我的 coinspayment 和 bitpay 被请求重置密码 并 成功重置了
    但重置需要验证邮件 邮箱里验证邮件还在那 是未读状态

    黑客重置密码后 成功登陆 coinpayments 提现我的比特币
    这步仍然需要邮件验证 邮件也在收件箱里 同时也是未读状态


    我想了很久 只有 2 种肯能性
    排除 COINSPAYMENT BITPAY 本身问题,因为不会这么巧 2 个站点都出问题

    1.OUTLOOK 邮箱服务器被入侵 黑客直接读取了我的邮件 所以可以验证 重置密码 和 提现请求
    这个是所有逻辑都能通的,但这也太恐怖了,等于所有 OUTLOOK 用户都存在风险了

    2.我的电脑被入侵,黑客远程操作我电脑通过网页访问了邮箱
    但逻辑不通的是 邮件是未读状态,虽然有网友说可以设置回未读,但是黑客何不干脆就删除了事,我还不容易发现
    而且访问 COINPAYMENTS 是个摩洛哥 IP,也就是 COINPAYMENTS 被异地登录了,但邮箱没有。也就是黑客分开操作,这边访问邮箱,那边访问 COINPAYMENTS。感觉有点多此一举,如果已经控制了我电脑,干脆用我的 IP,登录邮箱和 COINPAYMENTS,这样方便很多
    而且因为邮箱密码 跟 COINPAYMENTS 站点密码我设置其实是一样的
    如果密码泄露的话 直接登录 COINPAYMENTS 就好了,不需要重置密码
    cest
        20
    cest  
       2019-02-04 21:57:56 +08:00
    就是 coinpayments 的问题
    不知道为甚麽你对币商安全信心大於 outlook
    2fa 本身也是一个大 attack vector
    怎麽会天真的认为他真需要你邮箱才能获取 token
    exceloo
        21
    exceloo  
       2019-02-04 22:10:57 +08:00
    也许根本没有 outlook 什么事情,只是绕过了 coinpayments 安全机制,绕过的时候无意或者系统自动给 outlook 发邮件了。
    outlook 至少应该是安全的,因为你都没有看到异地登陆。
    maowenjie
        22
    maowenjie  
    OP
       2019-02-04 22:30:53 +08:00
    @cest
    @exceloo
    如果光是 coinpayments 被盗我也这么想
    问题是 coinpaymenta 和 bitpay
    同时被盗
    同样都是需要邮件验证的
    所以我就怀疑 outlook 了
    flamepeak
        23
    flamepeak  
       2019-02-04 23:52:14 +08:00 via Android
    这种情况应该是漏洞了
    flamepeak
        24
    flamepeak  
       2019-02-04 23:53:00 +08:00 via Android
    给 Microsoft 发邮件吧,让他们查原因,找回损失
    maowenjie
        25
    maowenjie  
    OP
       2019-02-05 01:07:04 +08:00
    @flamepeak 我一个免费邮箱 哪有客服支持啊
    DIMOJANG
        26
    DIMOJANG  
       2019-02-05 01:38:51 +08:00
    @maowenjie 虽然是免费邮箱,但是如果因为这个发现是 outlook 本身的 bugs 的话说不定还得倒贴你 233
    maowenjie
        27
    maowenjie  
    OP
       2019-02-05 01:43:46 +08:00
    @DIMOJANG 我连 support 联系方式都找不到
    这种事 就算发现是 OUTLOOK 安全问题 也不会承认的
    Hellert
        28
    Hellert  
       2019-02-05 02:44:34 +08:00 via Android
    重置密码的邮件里面只是一个链接,如果可以通过技术手段或者漏洞猜到链接,根本不需要去读你的邮箱。
    maowenjie
        29
    maowenjie  
    OP
       2019-02-05 07:06:46 +08:00
    @Hellert 是的 但 2 个网站同时出这个漏洞 可能性也太低了
    eneloop
        30
    eneloop  
       2019-02-05 12:27:08 +08:00 via Android
    搞得不好两个币商使用的同一个后台管理系统,有相同的漏洞。这年头币商多如毛,都是买来的后台,用一样的后台也不奇怪
    maowenjie
        31
    maowenjie  
    OP
       2019-02-05 12:52:06 +08:00
    @eneloop 应该不是吧 bitpay 也算大公司了
    2exploring
        32
    2exploring  
       2019-02-05 17:38:51 +08:00
    关于邮件还是未读状态,我觉得你没必要想那么多,像我用的客户端就设置为阅读五秒以上才自动设为已读,看一下就关掉还是未读的,可能人家才没想那么多要把已读过的标回未读或是要邮件删掉什么的,仅仅是因为人家用的读邮件软件没有向服务器发出一个已读的信息而已。。
    maowenjie
        33
    maowenjie  
    OP
       2019-02-05 19:52:37 +08:00
    @2exploring 这个邮箱 我只在网页登录的 客户端无法访问啊 POP 等权限都没开
    所以我才想不通
    maowenjie
        34
    maowenjie  
    OP
       2019-02-05 19:54:39 +08:00
    算了 这要是没微软技术人员去查 悬案了
    maowenjie
        35
    maowenjie  
    OP
       2019-02-05 20:03:30 +08:00
    另外千万不要用 bitpay
    这 B 公司客服速度超级慢
    黑客登录后设置了 2 次验证 我进不去了 没法去把设置的地址改回来
    我发了 TICKET 给 BITPAY
    要求暂停发送比特币
    等了 10 个多小时 都没回复 直接把我余额发给了黑客地址
    20 多个小时后 余额都清零了 才回复 把我账号冻结了发送
    maowenjie
        36
    maowenjie  
    OP
       2019-02-05 21:29:02 +08:00
    难道是 SKYPE 的问题?
    我这个邮箱也去登录 SKYPE 的
    之前我用的是官方中文版 skype.gmw.cn

    我现在重装系统 去下载然后安装 发现无法下载 跑了一会就会断流 失败(就浏览器单线程)
    用迅雷能下载下来 但是无法安装 安装了一半就提示缺损文件
    有没有朋友试下

    难道 SKYPE 被黑客攻陷了?
    c678
        37
    c678  
       2019-02-05 23:57:58 +08:00
    1. 个人认为,原因有可能出在国产浏览器或者国产输入法。
    2. 不要相信任何热钱包。推荐用 Ledger 之类的硬件冷钱包。
    @maowenjie
    chris520
        38
    chris520  
       2019-02-06 02:52:37 +08:00 via iPhone
    尽可能把币放在自己的钱包,冷的不行就热的。
    如果非要放到交易所。。Binance 吧。
    maowenjie
        39
    maowenjie  
    OP
       2019-02-06 09:34:04 +08:00
    @c678 这两个不是钱包网站 是支付网关
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2867 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 88ms · UTC 02:33 · PVG 10:33 · LAX 18:33 · JFK 21:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.