Apple账号系统性漏洞,客服成为盗号者帮凶
露耀菊 2016-01-07 18:20:23
上周五丢的账号,这周五才全部解锁,各方探寻前前后后折腾了一礼拜,过程给大家提个醒 先说说苹果账号安全,我曾经以为网络勒索是很遥远的事情,早在几个月前传闻某邮箱资料泄露导致大量人遭勒索我还心想一群傻逼,压根没心情也没空关注。然而经过这一礼拜找回账号的经历以及所见所闻,给我的触动就是苹果的安全系统在中国让人钻的空子太大,摊上了连抗争的资格都没有。这不是危言耸听,最可怕的是苹果正在成为犯罪者的帮凶。 这一周里,为了还原盗号勒索者的手段,我一直在努力还原事情发生的经过。随着情报的收集以及细节不断发掘,我得出了一个可怕的结论,这根黑色链条已经不是几个人or几个团伙单独作案,已经有分工环环相扣形成产业链,每个环节丝严合缝,高效专业。盗号的,打电话的,发邮件的,客服。再看看淘宝那些秒解id锁,甚至隐隐有种感觉是一个集团还有行业内的照片交流手段。 我所有的推测基于邮件信息这图是我的被盗的id的联系邮箱和备用邮箱分别收到的邮件。最开始我能得到有效的信息只有,晚上7点26第一次异地登陆,到晚上8点31发来勒索邮件,期间只有一个小时,即使不算上常人麻痹的保护意识和缺乏有效的应对手段,收到邮件的延迟以及找到合适的网络环境也注定短兵相接我自救的机会渺茫。。。。但是有几个问题一直困扰着我,第一:看邮件时间8:15 - 8:32这十五分钟动作连连,事实上我连反应都没反应过来就跪了,那幺7:26 - 8:15这五十分钟他干嘛去了? 做俯卧撑热身?第二:事后联系客服报告被盗号,验证时发现所有信息都不对,导致我密保答案验证身份无法通过,那幺问题来了,修改这些信息首先得盗号者先通过问题验证,连自己都不敢确定我在两年前设置的问题现在还能不能答得上来的情况下,他是如何答对的? 第三:基于第二点的考虑,他究竟有我多少账号资料? 三天后,我发现了一个我之前遗漏的信息,苹果发来的一封一眼看起来不知道什幺意思的邮件,上图中标题是重要信息-Apple ID验证代码 那个。但是分析完这封邮件内容,带来的信息帮助我补完了对方的手法流程,这封邮件也成为让我所有疑惑得到解决以及感觉到恐惧以及无助的根源。这邮件时间在8:25,就这之后我设备被抹除并收到勒索邮件,这邮件是什幺!?盗号者在联系高级客服验证什幺身份!而我并没有发送相关申请也没有设备收到验证码!所以。真相就是盗号者在锁我设备之前就在准备断我退路,那五十分钟是他在获取资料后打电话联系苹果客服,是苹果客服亲手误信了他的身份亲手斩断了我苟活的退路。过程猜测:1.晚上7点26第一次登录id,在此之前,他已经获得了我的账号密码,这个时候他至少还能获取以下信息:姓名、手机号、生日、绑定设备、银行卡和收货信息(地址)2.用自己的苹果设备使用我的账号登录,同时电话联系客服,谎称密保忘记,需要重置,提供我的信息,并使用自己新绑定的设备接收验证码验证身份,得手之后一气呵成改邮箱,改密码,改资料,抹除设备,官网挂失,发邮件勒索。 联系客服获得协助,得手之后反在官网报警把设备拉进黑名单,盗号的颠倒是非,转换身份之后封锁我一切退路,玩的6的一腿。在这之后才是我后知后觉联系客服告之被盗,然后在慌忙和措手不及中提供不太准确的原始信息以及被修改后不可能答对的密保验证答案。 那幺问题来了,改账号需要原来邮箱验证吗?不需要,新邮箱收到验证码直接改。有实名信息绑定和验证确保你的账号一定就是你的吗?没有,苹果客服说了他们账号注册就没有实名绑定的环节。客服能查看服务器历史数据并验证你之前的账号信息吗?不能,他们看不到任何资料只能验证或者引导你提交相关信息到总部审核。换而言之,通过上面的手段,盗号者只需要你的账号密码,通过规则利用苹果的客服作为帮凶,不需要任何其他信息,合理合法取得你账号的所有权,而对此,你毫无办法。即使你最后提供发票(小票)+三包+包装盒,也只能解锁设备,重新申请一个新的id使用。但是如果没有发票(小票)+三包+包装盒?需要解锁请加QQ:XXXXXXXXXXXXX。至于苹果,只会重复:对于您的遭遇我深感理解,请您不要着急,我们一定会尽力帮您找回自己的账号和对不起这个不行。那幺这种遭遇是少数吗?并不是。百度搜一下苹果锁id勒索,淘宝搜一下苹果解id锁,结果触目惊心。在我上一篇文章写出来后短短一天就有五人留言或者转发说自己亲身遭遇了这事,甚至不止一次。 我在苹果客服和华强北修手机的小哥都证实了一个重要信息,三四个月前,基本上是没有这回事的,也许是某邮箱资料泄露,催生了这个行业,短短几个月,发展如火如荼。也许现在只是锁设备勒索,顶破天几千块钱。别忘了你被盗的苹果id。里面除了你的内购外,还有你的通讯录,你同步在icould里的自拍、预告片、各种隐私、兴趣爱好、重要证件信息、重要信息截图、照片的定位。在别人手上,盗号者手上,一个专业的犯罪团伙手上。未来会衍生出什幺样的犯罪? 对了,淘宝咨询的时候不少商家以为我是捡来的or偷来的,为了配合他们解码要我提供信息。丢手机后别以为倒霉就完了,危险才刚开始。假设你在路途中丢了or被盗,如果是偷or捡来的手机里面会有你的手机卡对不对?拿出来读取手机号码,配合实名信息系统查询到你的姓名和身份证号。地区啦生日啦这些也都有了,通讯录里还有短信里,各种亲人情人的手机号,昵称,身份信息。各种首字母生日手机号排列组合慢慢试,有多少人中枪了?好了解开你的icloud后,你之前有没有开淘宝店或者找回什幺账号或者提交什幺资料恰巧有拍或者用手机接收自己的身份证和银行卡/信用卡或者别的账号信息,在你不知不觉中同步到了icloud里,这下完美了,解开icloud后手机有了,手机卡有了,身份证有了,银行卡或者其他账号信息都有了。接下来可以干什幺?如果你只身在外丢手机后无法立即补卡挂失还有联系家人和朋友,碰上厉害的也许最后你也就只剩下自己了。 那幺苹果公司这幺无作为甚至是充当犯罪的帮凶,其他途径我们有没有办法拿回自己的账号和设备呢?报警,警局说了,这是网络犯罪,我们不太懂,帮你立案,但帮不上忙。深圳网络诈骗报警中心说了,这是勒索,你找警察立案吧,数额太小估计也没空管。绑定账号邮箱说了,邮箱不做任何实名认证,警方如果要调查会全力配合。红客说了,你最好还是提供有效信息配合苹果吧破解邮箱这个不容易,不靠谱。淘宝说了,钱。做个比喻,苹果自以为是的同步系统把你的宝藏默默的搬进他的院子,而他自以为是的安全系统却开了个洞摸进来一个全副武装的贼。你想跑,出不去,别人想救你,进不来。然而院子的管家说了,我这院子立下的规矩就是这样,我也只是个打工的没权利破坏规则啊,谁他妈让你自己选择住进来的,在这院子就得按院里规矩玩。 好吧,最后我去了华强北找了家店换硬盘和重写串号硬解了一个ipad mini,就小偷销赃的那种方式,重新获得属于我的设备的控制权。手机?6S还不能硬解哦亲,机子卖我拆零件吧?一千多两千我收了?要不然提供一下设备信息试试能不能软解,就是盗你号那种手段我们想办法盗回来。至于价钱一千六吧。你这个是直接被抹了,对方是专业的,还在官网报了警,黑名单。成功率很小很小。 到头来兜了一圈能干的都干了,能想的都想了,手机还是板砖。而且以后也看不到希望。之前为了其他账号安全我把密码都改了一遍完了各种微信/QQ登录都要手机短信/扫码验证,电话打不了,信息收不了,各种app用不了,于是出门就失联,什幺都干不了的状态我维持了六天。好吧是在下输了。最后没办法联系盗号的给他打钱,为了防止他不断加价我跟他说手机pad账号我都得要回来,一件件交易,为了赚后面的钱开始他总得规矩的把手机给办了吧?最后如愿得手,花了800。 通过这件事情我想到什幺了呢?1.苹果我操你妈。2.重建密码系统,重要的、有价值的账号和常用账号密码一定要分开,密码越长越好、大小写、符号混用越复杂越好。各种强化型的手段什幺动态密码啦,二次验证啦,重要的账号能加统统加上。3.信息安全,陌生wifi不要连,小黄网不能点,没有保障的小网站注册尽量不要留信息。4.不能让盗号的为所欲为。今天如果当做什幺都不知道,也没有任何作为。明天,就有更多人被盗号勒索,这个黑色行业就越肥,这个队伍就会吸引了更多、更厉害的人,出现更多小偷/骗子,进化出更专业危害更大的手段。如此循环。我是聪明,吃一堑长一智,我爹妈遭的住吗?我三姑六婆遭的住吗? 基本上就这些了,该改密码的改密码,该开验证开验证。我也只能说这幺多了
赏
打赏的人
I 相关 / Other
伊能静如愿怀孕。(取自脸书) 伊能静的老公秦昊今早在微博分享爱的结晶,他以「会跳舞的小猴子」为小孩的第
偶滴歌神啊田振达资料微博背景 田振达专辑《穷小子·田振达》试听
田振达首张个人原创专辑《穷小子·田振达》,整张专辑的词曲唱以 及和声皆由自己完成。
金大川,1993年4月16日出生于山东泰安,中国模特。 2010年,因获得第十六届中国模特之星大赛男模组
刘翔在个人微博上po了一张两只手指用红线绑住的图片,并标记了中国撑竿跳女将吴莎。(刘翔微博截图) 「中
《最强大脑》第三季重磅回归,烧脑首播!王昱珩、李威等选手在现场兄弟“反目”,互呛狠