新發現的好站。未來要在我司維護自己的服務,資安也該多懂一些了。只是藍隊要涉獵的東西好多,去上了 HITCON 的課還是有點沒頭緒,再努力吧。
全文連結星期五, 9月 19, 2025
星期日, 5月 18, 2025
好文 - [問卦] 有人有Gmail帳號被盜的經驗嗎?
出處
恐怖的故事,應該是亂點檔案, browser cookie 被偷,後面全線崩盤。不過失主運氣好,帳號被偷的時候剛好在電腦旁邊,而且駭客腳本漏了另一隻 2FA 手機,這才有辦法把帳號搶回來。
好在偶從來不用什麼 Google password manager 或 authenticator。Google 帳號被偷 password manager 和 authenticator 跟著自動叛變實在夠瞎。
全文連結沒想到竟然被駭,Gmail差點拿不回來!
週五晚下載檔案後,掃毒軟體確認安全,結果點開後沒異狀,就繼續使用電腦。
過一陣子,卻發現Gmail登入不了,二階段認證的手機也無法使用,
密碼輸入竟然沒辦法進入帳號。急忙嘗試密碼重設,但手機遲遲收不到驗證通知。
這可是從beta 用起用了快20年的Gmail啊!
好不容易進到救援頁面,認證資訊竟然都被改掉,幸好最後一個選項的號碼
像是之前多設一支少用的備用手機號,試了一下竟然收到驗證碼。
趕快改密碼,進入帳號管理,果然所有認證資訊都被更改,立刻刪除並恢復原設定。
忙了40分鐘,終於拿回主控權!
駭客入侵後,短短三分鐘內就成功奪取我的Gmail,估計是直接跑腳本:
New passkey added to your account
A new sign-in on Windows
Your password was changed
Recovery phone was changed
Recovery email was changed
Phone number added for 2-Step Verification
2-Step Verification backup codes generated
Google Account PIN changed
Recovery secret question was changed
看來像是,
- 新增通行密鑰
- Windows新登入
- 修改密碼、恢復手機、備用郵件
- 設置2步驗證手機號,生成備份碼
- 更改Google帳戶PIN與密保問題
接下來的40分鐘內,駭客利用我的Gmail掌控我存在google password manager
的所有帳密,並透過帳號綁定他的手機,使Authenticator也轉移過去。
接著掃蕩我的虛擬幣平台(Nicehash、Coinbase、Binance),轉走資產;
侵入社群帳號(Facebook、Instagram、X)及 Steam 修改密碼、亂發內容;
甚至在Facebook Market上狂做交易。
幸好這一切發生時我還沒睡,搶回Gmail後迅速追回其他帳號,
但仍花費不少時間,還得通知交易中的買家停下交易。
事後補救:電腦,手機和網路Router全面Factory reset,
密碼全部更換並改用KeePass儲存,移除Google綁定的信用卡,
定期檢查登入裝置並登出陌生設備。在帳號添加多支手機號,2FA必須開啟,
更重要的是管好手避免亂點不明檔案或連結。
幸好這次在醒著的狀態下才得以救回帳號,如果是趁我睡著才下手,利用我的身份
進行詐騙,後果真不堪設想。
這邊要問個卦, 駭客怎摸那麼厲害,明明帳號有設2FA,
為什麼駭客改我帳號時, 我手機竟然push或簡訊都沒收到??
要等到被sign out 才知道???
還有人知道萬一Gmail 真的被盜, 資訊全被改要怎麼找回嗎?
谷歌有服務專線可以打嗎? :p
星期四, 11月 25, 2021
串流平台母湯亂做
串流平台亂做真的很母湯
這陣子接了新業務,為了避免業務品質貽笑後人,去買了線上課程溫故知新。課程本身是 online video streaming 的方式授課,中間有簡單的 quiz。
課程本身品質不錯,但程式出了問題。
有天沒事按 Ctrl-U 看源碼,發現純靜態網頁,完全沒混淆,影片網址明文放在 iframe 裡指向外部 video hosting platform。然後 platform 只檢查 referer(驚)
然後花不到兩小時就試出對課程內容時間轉移(time shifting)的可行方式。網站唯一小亮點是登入有 reCaptcha,可是手動匯出 cookie 就能繞過哪怕我換了 IP (驚喜)。整個過程 python 土炮 multiprocessing + request 就可以搞定,連 headless browser 都逼不出來。
平台看起來是專業醫師團隊架的,強烈懷疑是不是欠了外包商錢搞成這種方式 orz
星期六, 5月 16, 2009
不大誠實的網站?
之前上傳相片到flickr結果遇到流量的限制,決定去找找看有沒有其他的免費相簿,考量點有以下:
相簿大小,相片限制:相簿可以存多少相片?相片有沒有大小限制?會不會偷偷自動壓縮?
流量限制:有沒有上傳流量限制?有沒有訪客瀏覽流量限制
外連:允不允許外連?不能就沒辦法放網誌了
相片保管期限:會不會一段時間就把相片砍了?
結果我找到一個網站叫Zorpia的,相簿無限大小,沒有流量限制,完全允許外連,相片不會刪除,而且還不要錢。聽起來很好?當我註冊的時候,有個頁面叫「快速註冊」,只要使用Google和Yahoo的帳號就可以快速註冊,結果沈浸在找到「完美免費相簿」喜悅的我就很傻的真的在那個頁面登入(真不像是注重安全性的低疤會做的事情XD),註冊完後才想到不對:就算要用Google或Yahoo頁面登入,也應該是把我Redirect到Google或Yahoo的頁面吧?直接在網站打密碼,等於我把密碼免費奉送給他們。
動了念頭的第一瞬間,馬上衝去GMail改密碼,還好密碼沒被改掉(應該也不敢改,改了馬上會被使用者抓包)。之後Google的結果,果然這家公司會做不誠實的事情:相簿的確容量無限、沒有流量限制、可以外連,相片無限期保管,但是這家公司會偷偷儲存你的帳號密碼去發信(至少會發「邀請函」去邀請別人加入Zorpia)。當然我改了密碼後他再也不能偷用了,但我註冊的瞬間第一批廣告信應該已經送出了(所以收到「我寄來」的「邀請」別意外QQ)。所以事情是這樣的:這家公司給你不要錢、流量和空間都無限的相簿,但是他心血來潮時會「借」一下你的email。
目前看來,Zorpia「借」email後沒有被發現賣給別人的紀錄,但是他會用你的名義寄「邀請函」給通訊錄其他人邀請他們加入Zorpia,然後邀請函上會有廣告,可能就靠這廣告賺錢吧。繼續Google,發現愛用者還不少,而且有人的確相簿用很久也沒被砍(我看到有台灣人網誌用了兩年照片還在的),規模也不小,至少有好幾個語言的版本。這家來自祖國的網站不能說完全都在騙人,但有些行為還是讓人不舒服。
那現在呢?在想要不要繼續找相簿QQ 全文連結
相簿大小,相片限制:相簿可以存多少相片?相片有沒有大小限制?會不會偷偷自動壓縮?
流量限制:有沒有上傳流量限制?有沒有訪客瀏覽流量限制
外連:允不允許外連?不能就沒辦法放網誌了
相片保管期限:會不會一段時間就把相片砍了?
結果我找到一個網站叫Zorpia的,相簿無限大小,沒有流量限制,完全允許外連,相片不會刪除,而且還不要錢。聽起來很好?當我註冊的時候,有個頁面叫「快速註冊」,只要使用Google和Yahoo的帳號就可以快速註冊,結果沈浸在找到「完美免費相簿」喜悅的我就很傻的真的在那個頁面登入(真不像是注重安全性的低疤會做的事情XD),註冊完後才想到不對:就算要用Google或Yahoo頁面登入,也應該是把我Redirect到Google或Yahoo的頁面吧?直接在網站打密碼,等於我把密碼免費奉送給他們。
動了念頭的第一瞬間,馬上衝去GMail改密碼,還好密碼沒被改掉(應該也不敢改,改了馬上會被使用者抓包)。之後Google的結果,果然這家公司會做不誠實的事情:相簿的確容量無限、沒有流量限制、可以外連,相片無限期保管,但是這家公司會偷偷儲存你的帳號密碼去發信(至少會發「邀請函」去邀請別人加入Zorpia)。當然我改了密碼後他再也不能偷用了,但我註冊的瞬間第一批廣告信應該已經送出了(所以收到「我寄來」的「邀請」別意外QQ)。所以事情是這樣的:這家公司給你不要錢、流量和空間都無限的相簿,但是他心血來潮時會「借」一下你的email。
目前看來,Zorpia「借」email後沒有被發現賣給別人的紀錄,但是他會用你的名義寄「邀請函」給通訊錄其他人邀請他們加入Zorpia,然後邀請函上會有廣告,可能就靠這廣告賺錢吧。繼續Google,發現愛用者還不少,而且有人的確相簿用很久也沒被砍(我看到有台灣人網誌用了兩年照片還在的),規模也不小,至少有好幾個語言的版本。這家來自祖國的網站不能說完全都在騙人,但有些行為還是讓人不舒服。
那現在呢?在想要不要繼續找相簿QQ 全文連結
星期二, 8月 14, 2007
醫師責任不要無限上綱
拜讀「病患才叫衰,沒錯卻沒命」一文,想從另外的角度提供一些想法。
麻醉科醫師因為疏忽把人弄成植物人,讓一個家庭從此由彩色變成了黑白,當然應該要負責。但是從另外一個角度想,麻醉醫師手術成功,是不是也是也讓很多家庭免於災難?過錯當然要負責任,但難道之前那位醫師幫助過的其他人、其他家庭就通通不算數了嗎?難道不能給醫師改過自新的機會?
醫師所得固然比平常人高,但醫師提供的服務也非常要求專業和品質。知識本來就有一定的價錢,電腦壞掉了換個小零件可能就要幾百元維修費,更何況人體不能輕易更換,醫師不能出錯。所以不能看到醫師收入比較多,就好像醫師賺的是不公平的財富,就應該接受無限上綱式的「醫德」要求。(還是說,不管做多做少,大家賺的錢都應該一樣多,這樣才公平?) 全文連結
麻醉科醫師因為疏忽把人弄成植物人,讓一個家庭從此由彩色變成了黑白,當然應該要負責。但是從另外一個角度想,麻醉醫師手術成功,是不是也是也讓很多家庭免於災難?過錯當然要負責任,但難道之前那位醫師幫助過的其他人、其他家庭就通通不算數了嗎?難道不能給醫師改過自新的機會?
醫師所得固然比平常人高,但醫師提供的服務也非常要求專業和品質。知識本來就有一定的價錢,電腦壞掉了換個小零件可能就要幾百元維修費,更何況人體不能輕易更換,醫師不能出錯。所以不能看到醫師收入比較多,就好像醫師賺的是不公平的財富,就應該接受無限上綱式的「醫德」要求。(還是說,不管做多做少,大家賺的錢都應該一樣多,這樣才公平?) 全文連結
星期三, 3月 14, 2007
好物!
開放原始碼Windows防火牆
Windows系統封包過濾之技巧
*nix系列的作業系統一向有很多開放原始碼的防火牆,相關的documentation也很清楚,但在Windows的世界,防火牆似乎是大型商業公司的專利,免費的產品有是有,但大多都是付費產品的試用型馬前卒。唯一有開放原始碼的費爾防火牆也是販賣原始碼,而不是有如GPL班開放給大眾閱覽。而大概數個月或是一年之前,我Google有關如何寫防火牆的資訊,也只得到一些草草的介紹。不料隔了一段時間以後,資源變得這麼豐富啊。 全文連結
Windows系統封包過濾之技巧
*nix系列的作業系統一向有很多開放原始碼的防火牆,相關的documentation也很清楚,但在Windows的世界,防火牆似乎是大型商業公司的專利,免費的產品有是有,但大多都是付費產品的試用型馬前卒。唯一有開放原始碼的費爾防火牆也是販賣原始碼,而不是有如GPL班開放給大眾閱覽。而大概數個月或是一年之前,我Google有關如何寫防火牆的資訊,也只得到一些草草的介紹。不料隔了一段時間以後,資源變得這麼豐富啊。 全文連結
星期四, 8月 31, 2006
星期三, 8月 30, 2006
訂閱:
意見 (Atom)
