V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wing2dark
V2EX  ›  信息安全

观 Apple ID 被盗 请教大家几个问题

  •  
  •   wing2dark · 2023-05-09 20:46:58 +08:00 · 3135 次点击
    这是一个创建于 565 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天在酷安看到这个 Apple ID 被盗的贴子 : https://www.coolapk.com/feed/45865580 本以为开了二次验证就可以安全一些了,我在网上一搜没想到还有挺多人被盗过 Apple ID 导致支付宝被盗刷什么的。有可能是被盗了 cookie ?(电丸、Linus Tech 似乎也是?)

    想问大家平时都有什么习惯&工具来保护自己安全冲浪或者隐私?

    23 条回复    2023-05-09 22:29:06 +08:00
    jooks
        1
    jooks  
       2023-05-09 20:54:32 +08:00
    把 Apple Pay 关了
    seres
        2
    seres  
       2023-05-09 21:01:00 +08:00
    不太明白开启二次验证的前提下账号如何被登录。。
    terence4444
        3
    terence4444  
       2023-05-09 21:02:39 +08:00 via iPhone
    连个论坛都屏蔽境外 IP ?
    zakokun
        4
    zakokun  
       2023-05-09 21:04:56 +08:00
    相比于苹果出这么严重的安全问题,我更倾向认为是用户自己泄漏的
    ZE3kr
        5
    ZE3kr  
       2023-05-09 21:07:49 +08:00 via iPhone   ❤️ 1
    苹果的二次认证可以通过短信的,短信就没那么安全了,但相对也还是安全很多。现在我 Apple ID 改用 YubiKey 了。

    然后所有账户密码都用 1Password 存,1Password 自身开启 TOTP 和 YubiKey 。

    能开 TOTP/WebAuth 的账户我都开,并且不用 1P 去存这些账户 TOTP 信息,防止 1P 的数据泄漏

    然后要经常关注安全邮件吧,苹果谷歌账户新登录都会有邮件提醒的
    ZE3kr
        6
    ZE3kr  
       2023-05-09 21:10:42 +08:00 via iPhone
    Apple Pay 是很难被盗的,因为在新设备上激活 Apple Pay 需要通过银行那边的 2FA ,现在一些银行都要扫脸激活了
    ajyz
        7
    ajyz  
       2023-05-09 21:11:37 +08:00   ❤️ 5
    看完了帖子内容,没看出任何问题,帖主通篇几乎都是各种抱怨,没有提供太多可以思考的内容。我自己知道的可以随意改密码或绕过密保问题(两步验证推出前的安全措施)还是 iPhone4 前后的事了,之后没见过被盗的。里头能想到的唯一可能是有受信设备可能卖 /丢了自己没意识到?他自己说被盗前已经有几个提醒邮件,但他抱怨没有弹窗提醒,更多应该是自己通知设置问题。
    ps:里头抱怨异地修改内容没有账号冻结以及支付宝限额额度问题,个人是比较不赞同的,这完全是嫌被管得还不够的自贱心理。
    dearmymy
        8
    dearmymy  
       2023-05-09 21:11:47 +08:00
    很大概率是注册苹果 id 的邮箱被盗。然后通过忘记密码,或者其他渠道想办法登录的。
    信息泄露都成筛子了。
    很大概率某些渠道,这个人的邮箱,密码,手机号信息都被泄露,邮箱密码又跟 apple id 密码一致。
    苹果安全还是放心。
    wofave
        9
    wofave  
       2023-05-09 21:19:39 +08:00 via iPhone
    @ZE3kr #5 才知道 Apple ID 可以用 YubiKey ,试着配置了一下提示需要两个安全密钥,可惜就买了一个
    Lentin
        10
    Lentin  
       2023-05-09 21:26:35 +08:00
    apple 账户第一步,不要用手机号或者第三方邮箱当账号
    第二步, 不要用注册的 apple 邮箱注册任何第三方网站,这样除了你以外没有人知道你的账号就避免了账号被盗的可能性。
    另外 apple 邮箱可以设置别名,别名是不能当作账号登陆的应该
    ZE3kr
        11
    ZE3kr  
       2023-05-09 21:31:30 +08:00 via iPhone
    @wofave 这是因为如果所有绑定的 YubiKey 都丢后 Apple ID 就再也无法登陆了,所以它就要求俩😂
    xtinput
        12
    xtinput  
       2023-05-09 21:46:46 +08:00   ❤️ 2
    @ZE3kr Apple Pay 被盗只能是设备也被盗了
    开了双重认证 AppleID 被盗的 99.9999%是被钓鱼网站把密码和验证码给输进去了
    j20001112
        13
    j20001112  
       2023-05-09 22:01:23 +08:00
    @ZE3kr Apple Pay 被盗其实很容易,美国一些小运营商的手机号的 account number 和 PIN 很容易被盗,然后就能携号转网来 sim swap 获得手机号,eSIM 更是秒激活, 有了手机号各大网站 APP 那都是畅通无阻. 还有的华人手机店的运营商手机号也很多诈骗携号转网的. 敏感 Uber 打车碰到个华人司机想美国银行 zelle 发个红包他连手机号都不愿意跟我说,说是华人社区诈骗太多,对方知道你手机号直接就能盗走你的手机号和美国银行 APP venmo paypal 里所有的钱.m.bcbay.com/news/page/453093
    j20001112
        14
    j20001112  
       2023-05-09 22:11:28 +08:00   ❤️ 2
    @dearmymy 应该是 QQ 邮箱被盗,之前 QQ 都很多人被盗. 苹果 find my 查找可以不需要双重认证验证码,防止手机丢了想要查找都查找不了. 然后查找就可以抹掉 iPhone, 最后 AppleID 所有苹果设备都被抹掉了应该就能靠着邮箱和确认手机号找回密码绕开双重认证的验证码 ,确认手机号并不需要原有的手机号的验证码,只需输入手机号就 OK 了,这手机号肯定脱库也很容易获得
    @Lentin @ajyz @xtinput @ZE3kr @zakokun @seres
    strp
        15
    strp  
       2023-05-09 22:13:30 +08:00
    我试了一下,没有办法绕过手机验证码啊,直接重置密码要你输入完整的手机号才能下一步,知道你 Apple ID 账密登录在我的情况下,没有选项可以选通过邮箱接受验证码,输入账密下一步手机就弹窗,你点其他方式只有 SMS/Recover Key 。
    j20001112
        16
    j20001112  
       2023-05-09 22:18:01 +08:00
    邮箱被盗就能直接申诉找回 AppleID, AppleID 也不绑定身份证, 邮箱被盗就能通过邮件提供 AppleID 的相关信息进行申诉
    wwbfred
        17
    wwbfred  
       2023-05-09 22:18:02 +08:00
    @xtinput 这个 99.9999%有点精确啊,剩下的 0.0001%是猜中 6 位验证码了么😂
    j20001112
        18
    j20001112  
       2023-05-09 22:19:10 +08:00
    @strp 应该是靠申诉的
    j20001112
        19
    j20001112  
       2023-05-09 22:21:47 +08:00
    AppleID 的注册时间,购买的项目等几乎所有信息都能在被盗的邮件里找到,毕竟所有的 AppleID 的通知都会发邮件
    ZE3kr
        20
    ZE3kr  
       2023-05-09 22:24:13 +08:00 via iPhone
    所以我现在手机号开了 Transfer Lock ,转不出去。但之前用的很多小运营商确实没这个功能。不过这跟 esim 没啥关系,实体卡也是秒激活的。Zelle 的话,我每次携号转网 Zelle 都会被风控,手机号还得重新绑定。银行卡的话得看银行了,我的银行激活 Apple Pay 就是通过 App 激活,而不是短信验证码
    j20001112
        21
    j20001112  
       2023-05-09 22:27:24 +08:00
    @ZE3kr 哪家银行风控这么强? chase 携号转网到 Google voice 还能继续用,也能提供短信验证码激活 Apple Pay 登录 APP 网银
    ajyz
        22
    ajyz  
       2023-05-09 22:28:43 +08:00
    @j20001112 但还有个疑问,单一设备这可能可以实现,账号下有多设备也能强制全部抹除?
    ZE3kr
        23
    ZE3kr  
       2023-05-09 22:29:06 +08:00 via iPhone
    @j20001112 Regions ,每次携号转网后就把我手机号解绑了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1496 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:55 · PVG 00:55 · LAX 08:55 · JFK 11:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.