v2 铜币被盗，想定位一下是 V2EX 的问题是我账号安全的问题

也许可以考虑先把这 10 个号 ban 了？ @Livid

我的帐号还被盗了呢，可以解决么？
member/westoy

这是咋被盗的，插件吗。。？

@chaselen 不知道，曾经用过 v2 插件，现在没用了。感觉 gmail 登录应该相当安全才对

不一定是 V2EX 相关的插件才会被盗, 其他插件也有可能, 上个月刚被到盗过...

@threeti 可以告知一下你怀疑的插件名不？

gmail 登录按说么容易盗
我觉得你还是想清楚插件，也想一下有没有些不是直接 V2 的但是比较小众一点的插件。
昨天也有人说被盗的，要不被盗的人都将在用的插件贴出来吧

之前我在 ns 确实看到了扫号的项目，忘记收藏了

可能是撞库撞出来的, 就是你的 gmail 被盗了

v2ex 的邀请很值钱吗，这都有人来偷

建议兑换邀请码流程里加上两步验证

这还有人盗号吗

v2 的邀请码，在闲鱼上平均售价为 30 ～ 50 人民币一个，所以铜币还是有一定经济价值的。

@hhacker gmail 不太可能被盗，开了 2fa 的，如果有外部登录我的手机上能看到通知和确认

@BeforeTooLate
看这名字就像是批量注册的

站长后台能看到更多的注册信息，邮箱啊，IP 地址啊，肯定能看出来

@phpdever 这么贵的啊？难怪经常看到一些高度可疑的水贴。

@phpdever 那站长可以印钱了

我设想了一下所有情况，最有可能的是老密码不安全了，我注册的比较早，那时候确实没有安全意识，用的比较简单的密码。后面用 gmail 登录后忽略掉了。

我想恳请 @livid 帮我排查一下是否是有人通过密码登录了我的账号，如果有保留记录的话，从 ip 上应该能看出来？这对我非常重要

下没下过手机端的 app ？

@BeforeTooLate 我自己注册的，邀请码是闲鱼买的

@GensKinsey App Store 商店下载的手机端 APP 不安全吗？

@ramieztwyla18117 并没有所谓的官方客户端

@renmu 我在商店下载了啊，登录上来是一样的，难道是钓鱼的我卸载改密码了

建议限制创建邀请码的频率，比如 1 个月只能创建一枚邀请码 @Livid

@ramieztwyla18117 #25 V 站只有 web 页面，其他都是私人搞的

我一直 Gmail 登录的，突然有一天登录变成新账号了。然后给站长发邮件，站长给处理了，说我账号被盗登录邮箱被改了。

竟然有这么多金币，厉害

一般是自己的失误，可能你有安全不到位的地方

@gbadge #30 希望你一直能安全到位.....

@ramieztwyla18117 当然不安全。v 站没有官方客户端，那些 app 都是套壳的，你用户名密码直接进人家数据库了。

@BelovedOne 我之前也被人盗号，莫名其妙，也是没人管： t/1023613#reply2

@BelovedOne 另外我也一直在用插件

找 @Livid 处理

啊，我现在才知道一个邀请码这么贵， 要 1 个金币。。。 你金币还挺多的

你这邮箱关联账号泄露的挺多的，估计随便用个免费的库都能查到你用过的密码

@yuhaofe 嗯嗯，我知道，查询过已经是好久都不用的密码了

一直用 v2next 插件。

话说这铜币能买馒头吗?

我之前的 v2 号，也是莫名其妙丢了，直接显示用户名不存在，但我可以确定是 100%没有记错用户名，因为记录进密码软件了。
给 [email protected] 发邮件也没有回信，不了了之了

@yuhaofe 这是啥网站？

@chihiro2014 #42 https://haveibeenpwned.com/

@dcdc6 #40 有没有可能是被永封了

@sky3hao #40 我只知道比特币可以买披萨

@BeforeTooLate 我也是咸鱼买的

@docx 谢谢，这 10 个账号已经被彻底 ban 。

@subpo 你的账号在 11 月 25 日被 IP 116.48.38.206 (UA: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36) 用密码登录成功。

为了提醒更多人注意密码安全问题，这个主题会被置顶一段时间。

@Livid 建议生成邀请码可以视为高风险操作，需要验证二次验证

@wunonglin 如果账号之前就没有启用 2FA ，被盗号者拿到密码，然后登录进来，盗号者用自己的设备开启 2FA ，依然无解。

V2EX 很多年前就有 2FA 功能，但我们没有强制所有账号必须用。

说到底这是每个人自己的选择。

@Livid #51 或者是生成邀请码后，需要发送一个确认邮件以及一个“冷静期“，比如 24 小时。这样生成后，需要用户自己进入邮箱确认，以及在“冷静期”内可以撤回生成，这样可以有一个二次确认以及缓冲的时间。

@Livid #51 生成邀请码的频率也可以做个限制。

居然有 10 个金币,我才 4 个.

新的限制上线：

邀请码创建功能现在需要在打开 2FA 功能 90 天之后才能使用。

@Livid
不能因噎废食，一刀切吧。。。
说到底 OP 是自己的密码管理有问题。
自己的事情自己的选择，自己承担。

短时间多次生成邀请码 or 生成三个以上邀请码启用 2FA ，是否更合理？

@ramieztwyla18117 已经被 ban 了

@Cheons 就这样，蛮好，别再麻烦人站长了

@ljhrot 典型的不解决根本问题

@yuhaofe #37 这个在哪里查的

把 @ramieztwyla18117 BAN 掉之后 就找不到源头了吗不是，完全可以找这个购买者 查到这个盗号的闲鱼，然后购买邀请码的人，看是否是同一个闲鱼账号，这样最起码能找到相关人员，就算不是盗号的也肯定是合作者，这一下子 BAN 掉，线索断掉了

我还是很佩服这些人，哪里有利益就能摸到哪里。执行力能力很强。

啊？原来邀请码也能卖钱？

@Cheons 还行吧，邀请码说实话也挺贵的

看了一眼咸鱼价格，标价 30 ，还挺贵的~

@ChrisFreeMan 是啊，要不怎么他们发财呢。哎，话说就这个回复，我距离 50 快又远了一点

@Livid 感谢感谢，看来是遗留的弱密码问题

注册了快 10 年了，一个金币都还没攒够的路过~~

@Cheons #56 本来生成邀请码应该就是慎之又慎的操作，现在还能拿来卖钱，那宁可策略更加严格一点，也不能给偷盗者可乘之机。

没想到我的金币都能值个 200 块

这里是不是有什么我不知道福利板块？这么诱人犯罪？

额，v2 的金币有啥用？

@Livid #49 创建的邀请码一直未使用，刚开启了 2FA ，90 天后这个邀请码还会保留着吗

@BeforeTooLate 已经被封了

@COW #66 购买邀请码 t/1037849

@nikenidage1 封了没啥问题，去咸鱼购买邀请码，和注册需要邀请码的设计相违背

还没见过金币长什么样

@subpo #4 开了两步 验证了吗

@subpo #19 这没啥用啊，都是通过代理访问的，只能查到机场呀

@Livid #55 我觉得很好的策略啊，比邮件二次确认靠谱多了

@wjup 不影响已经创建的。但是如果要创建新的，需要在 2FA 开启 90 天之后。

@Livid 今天刚注册进来的，我还好奇以前怎么没人提过邀请码需要 90 天，没想到是 16 个小时前的事情

@lanbin07 我看了一下你的邀请链，你的邀请码是怎么获得的？

@Livid 这个邀请码是我从咸鱼上买的，我问了身边搞技术的大家都说不用 V 站，我一般遇到邀请码问题都直接上淘宝或者咸鱼了，今天下午刚刚买的

@lanbin07 所以是邀请你的 @soarscnu 在 11 月 21 日附近被盗号了。

@Livid 啊啊，是这样的吗……我以为大家都是自己创建的邀请码拿出来分享的，没想到还真的有人盗号来卖…… 我的邮箱就是注册的这个邮箱，可以联系我邮件

@Livid 请问这件事是否有补救的方法？我是之前在网上求助技术问题时看到的 V 站，读完回复之后发现这是一个特别好的社区，但是因为当时注册就要邀请码了就一直觉得很可惜，这两个月我都在问身边人有没有邀请码，直到昨天晚上我朋友跟我说可以去看看其他论坛或者咸鱼有没有大佬分享，我就去买了一个激活码。其实这么好的社区需要邀请码注册还是挺可惜的，而且也确实给了不法分子钻空子牟利的机会，最后账户被封禁也是让想要加入 V 站的用户承受了损失。虽然我能理解购买邀请码的行为对于社区肯定是有非常大的不利影响的，而且这也与邀请码的设立初衷相违背，但是在已经有大量不法分子通过盗号等方式去偷窃邀请码，并为自己谋利的行为本身就是对邀请码这一机制的利用，也会让不真正了解邀请码机制背后设立原因的新人遭到“诈骗”（或者我可以叫他“洗钱”，就是把赃款变成可以花的钱）。

我接受 V 站后续对本账号的处罚，但也希望可以加入这个技术社区，也希望 V 站越来越好。

@lanbin07

说实话，我不觉得你做错了什么。

目前这个情况我也觉得非常一言难尽。

开始邀请码机制的原因是想挡住 spam ，没有人想浪费每天的宝贵生命去阅读或者处理大量的 spam 。

然后有了邀请码机制。

spam 数量目前其实确实降下来了，大家也可以看到已经很久没有那类柬埔寨招聘帖了。

但是有一些新的问题。

继续靠升级代码来解决吧，比如今天上线的 2FA + 90 天机制。

@Livid 确实，另外对于邀请码的生成加上两步验证会不会可以解决这类问题？不过今天的 90 天限制加上后应该盗号生成邀请码的问题就不会再发生了（除非 2fa 密钥泄漏）

我刚刚想到的一个方法是在生成邀请码的时候要求输入 2fa 的验证，这样也能一定程度上避免被“插件”和因为登录凭证等问题被盗号造成的金币损失。

不知这样的方法实现起来难度大么？我觉得加上 2fa 保护会好一点，毕竟邀请码都是邀请认识的人，生成邀请码肯定也是一个严肃的过程，所以输入两步验证看起来并不会降低邀请码生成的效率（因为本身也不需要高效率生成邀请码？）

看这个帖新增了两个知识点：1.铜币竟然有用. 2.网站竟然支持 2FA.

总结了一下这件事，写了一条主题： https://v2ex.com/t/1093491

还好大号金币不多。

@Livid
V 站能不能增加安全密钥登录

@subpo
开了 2fa 对方是怎么做到的

@lanbin07 支持 Passkey 就好了

@Livid 试了一下，目前改密码和开启 2FA 似乎都只需要密码，这个可能有点问题？如果密码泄漏了，那盗号者就可以直接改密码，开 2FA 。
好像一般情况下，2FA 开启之前，强制一个邮件验证码会更保险？印象中很多网站都是这么要求的。

通过这篇帖子我才知道，新号注册需要邀请码了，这样挺好的，姿瓷

不知道是不是网站的时间同步有些差异，我用微软的 Authenticator 作为 2FA 的 totp ，在操作需要 2fa 验证码的时候，有将近 1/3 的几率提示验证错误。在这个时候退出，重新登录往往可以成功。也不知道是 cookie 或者 session mgmt 有些问题？大家碰到过吗？

mt 的邀请码用过好多次 v2 的倒是一次没用过
感觉身边有能力访问到这的人一般都注册过了
金币目前只用来置顶帖子

2FA 好像有时间戳 bug ，我 github 上的码一直提示错误，现在也无法登录要等重置时间。