这是一个创建于 318 天前的主题,其中的信息可能已经有所发展或是发生改变。
早上起来领铜币,突然发现我的账号 25 号创建了 10 个邀请码,并且已经邀请了人,金币全部花费一空
https://ibb.co/tQ2r22B
https://ibb.co/fY1hL3s
我的登录方式是 gmail 登录,并且没有下载任何有关 V2EX 的 chrome 插件。
https://ibb.co/tQ2r22B
https://ibb.co/fY1hL3s
我的登录方式是 gmail 登录,并且没有下载任何有关 V2EX 的 chrome 插件。
 | 2 BelovedOne 318 天前 我的帐号还被盗了呢,可以解决么? member/westoy |
 | 3 chaselen 318 天前 这是咋被盗的,插件吗。。? |
 | 5 threeti 318 天前 不一定是 V2EX 相关的插件才会被盗, 其他插件也有可能, 上个月刚被到盗过... |
 | 7 I3tZ9NgHU44xmaA4 318 天前 gmail 登录按说么容易盗 我觉得你还是想清楚插件,也想一下有没有些不是直接 V2 的但是比较小众一点的插件。 昨天也有人说被盗的,要不被盗的人都将在用的插件贴出来吧 |
 | 8 x86 318 天前 之前我在 ns 确实看到了扫号的项目,忘记收藏了 |
 | 9 hhacker 318 天前 可能是撞库撞出来的, 就是你的 gmail 被盗了 |
 | 10 shadowyue 318 天前 v2ex 的邀请很值钱吗,这都有人来偷 |
 | 11 Rat3 318 天前 建议兑换邀请码流程里加上两步验证 |
 | 12 Baymaxbowen 318 天前 这还有人盗号吗 |
 | 13 BeforeTooLate 318 天前  1 |
 | 14 phpdever 318 天前 1 v2 的邀请码,在闲鱼上平均售价为 30 ~ 50 人民币一个,所以铜币还是有一定经济价值的。 |
 | 16 somebody1 318 天前 |
 | 18 GG668v26Fd55CP5W 318 天前 via iPhone 6 @phpdever 那站长可以印钱了  |
 | 19 subpo OP PRO 我设想了一下所有情况,最有可能的是老密码不安全了,我注册的比较早,那时候确实没有安全意识,用的比较简单的密码。后面用 gmail 登录后忽略掉了。 我想恳请 @livid 帮我排查一下是否是有人通过密码登录了我的账号,如果有保留记录的话,从 ip 上应该能看出来?这对我非常重要 |
 | &bsp; 20 becomesilent 318 天前 用几年了一个金币都没得 |
 | 21 GensKinsey 318 天前 下没下过手机端的 app ? |
 | 22 ramieztwyla18117 318 天前 via iPhone @BeforeTooLate 我自己注册的,邀请码是闲鱼买的 |
| 23 ramieztwyla18117 318 天前 via iPhone @GensKinsey App Store 商店下载的手机端 APP 不安全吗? |
 | 24 renmu 318 天前 via Android @ramieztwyla18117 并没有所谓的官方客户端 |
| 25 ramieztwyla18117 318 天前 via iPhone @renmu 我在商店下载了啊,登录上来是一样的,难道是钓鱼的我卸载改密码了 |
 | 27 Vraw5 318 天前 @ramieztwyla18117 #25 V 站只有 web 页面,其他都是私人搞的 |
 | 28 rainfallmax 318 天前 我一直 Gmail 登录的,突然有一天登录变成新账号了。然后给站长发邮件,站长给处理了,说我账号被盗登录邮箱被改了。 |
 | 29 linstrong 318 天前 竟然有这么多金币,厉害 |
| 30 3L99FY8Topz9608o 318 天前 一般是自己的失误,可能你有安全不到位的地方 |
| 32 GensKinsey 318 天前 @ramieztwyla18117 当然不安全。v 站没有官方客户端,那些 app 都是套壳的,你用户名密码直接进人家数据库了。 |
 | 33 skydcnmana 318 天前 @BelovedOne 我之前也被人盗号,莫名其妙,也是没人管: t/1023613#reply2 |
| 34 skydcnmana 318 天前 @BelovedOne 另外我也一直在用插件 |
 | 36 mcluyu 318 天前 啊,我现在才知道一个邀请码这么贵, 要 1 个金币。。。 你金币还挺多的 |
 | 37 yuhaofe 318 天前 你这邮箱关联账号泄露的挺多的,估计随便用个免费的库都能查到你用过的密码  |
 | 39 frankilla 318 天前 一直用 v2next 插件。 |
 | 40 PUR4uF5Oq0z0YN9r 318 天前 话说这铜币能买馒头吗? |
 | 41 dcdc6 318 天前 我之前的 v2 号,也是莫名其妙丢了,直接显示用户名不存在,但我可以确定是 100%没有记错用户名,因为记录进密码软件了。 给 [email protected] 发邮件也没有回信,不了了之了 |
 | 42 chihiro2014 318 天前 @yuhaofe 这是啥网站? |
 | 43 shwomen1234fs 318 天前 |
 | 44 Xu3Xan89YsA7oP64 318 天前 @dcdc6 #40 有没有可能是被永封了  |
 | 45 potatowish 318 天前 via iPhone @sky3hao #40 我只知道比特币可以买披萨 |
 | 46 maintiao123 318 天前 @BeforeTooLate 我也是咸鱼买的 |
 | 48 Livid MOD PRO @subpo 你的账号在 11 月 25 日被 IP 116.48.38.206 (UA: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36) 用密码登录成功。 |
| 49 Livid MOD PRO 3 为了提醒更多人注意密码安全问题,这个主题会被置顶一段时间。 |
| 51 Livid MOD PRO 3 @wunonglin 如果账号之前就没有启用 2FA ,被盗号者拿到密码,然后登录进来,盗号者用自己的设备开启 2FA ,依然无解。 V2EX 很多年前就有 2FA 功能,但我们没有强制所有账号必须用。 说到底这是每个人自己的选择。 |
 | 52 shakaraka PRO @Livid #51 或者是生成邀请码后,需要发送一个确认邮件以及一个“冷静期“,比如 24 小时。这样生成后,需要用户自己进入邮箱确认,以及在“冷静期”内可以撤回生成,这样可以有一个二次确认以及缓冲的时间。 |
 | 54 chenqh 318 天前 居然有 10 个金币,我才 4 个. |
| 55 Livid MOD PRO 38 新的限制上线: 邀请码创建功能现在需要在打开 2FA 功能 90 天之后才能使用。 |
 | 56 Cheons 318 天前 via Android 5 |
 | 57 ariza 318 天前 via iPhone @ramieztwyla18117 已经被 ban 了 |
| 58 3L99FY8Topz9608o 317 天前 via iPhone @Cheons 就这样,蛮好,别再麻烦人站长了 |
 | 60 gegeligegeligo 317 天前 @yuhaofe #37 这个在哪里查的 |
 | 61 MXMF 317 天前 把 @ramieztwyla18117 BAN 掉之后 就找不到源头了吗不是,完全可以找这个购买者 查到这个盗号的闲鱼,然后购买邀请码的人,看是否是同一个闲鱼账号,这样最起码能找到相关人员,就算不是盗号的也肯定是合作者,这一下子 BAN 掉,线索断掉了 |
 | 62 ChrisFreeMan 317 天前 我还是很佩服这些人,哪里有利益就能摸到哪里。执行力能力很强。 |
 | 63 MartinWu 317 天前 啊?原来邀请码也能卖钱? |
 | 65 loopq 317 天前 看了一眼咸鱼价格,标价 30 ,还挺贵的~ |
 | 66 xiangbohua 317 天前 @ChrisFreeMan 是啊,要不怎么他们发财呢。哎,话说就这个回复,我距离 50 快又远了一点 |
 | 68 kepenj 317 天前 注册了快 10 年了,一个金币都还没攒够的路过~~ |
 | 70 FakerLeung 317 天前 没想到我的金币都能值个 200 块  |
 | 71 66beta 317 天前 这里是不是有什么我不知道福利板块?这么诱人犯罪?  |
 | 72 COW 317 天前 via Android 额,v2 的金币有啥用? |
 | 74 liuliuliuliu PRO @BeforeTooLate 已经被封了  |
| 76 BeforeTooLate 317 天前 @nikenidage1 封了没啥问题,去咸鱼购买邀请码,和注册需要邀请码的设计相违背 |
 | 77 whyshijei 317 天前 还没见过金币长什么样 |
 | 87 lanbin07 317 天前 @Livid 请问这件事是否有补救的方法?我是之前在网上求助技术问题时看到的 V 站,读完回复之后发现这是一个特别好的社区,但是因为当时注册就要邀请码了就一直觉得很可惜,这两个月我都在问身边人有没有邀请码,直到昨天晚上我朋友跟我说可以去看看其他论坛或者咸鱼有没有大佬分享,我就去买了一个激活码。其实这么好的社区需要邀请码注册还是挺可惜的,而且也确实给了不法分子钻空子牟利的机会,最后账户被封禁也是让想要加入 V 站的用户承受了损失。虽然我能理解购买邀请码的行为对于社区肯定是有非常大的不利影响的,而且这也与邀请码的设立初衷相违背,但是在已经有大量不法分子通过盗号等方式去偷窃邀请码,并为自己谋利的行为本身就是对邀请码这一机制的利用,也会让不真正了解邀请码机制背后设立原因的新人遭到“诈骗”(或者我可以叫他“洗钱”,就是把赃款变成可以花的钱)。 我接受 V 站后续对本账号的处罚,但也希望可以加入这个技术社区,也希望 V 站越来越好。 |
| 88 Livid MOD PRO @lanbin07 说实话,我不觉得你做错了什么。 目前这个情况我也觉得非常一言难尽。 开始邀请码机制的原因是想挡住 spam ,没有人想浪费每天的宝贵生命去阅读或者处理大量的 spam 。 然后有了邀请码机制。 spam 数量目前其实确实降下来了,大家也可以看到已经很久没有那类柬埔寨招聘帖了。 但是有一些新的问题。 继续靠升级代码来解决吧,比如今天上线的 2FA + 90 天机制。 |
| 89 lanbin07 317 天前 @Livid 确实,另外对于邀请码的生成加上两步验证会不会可以解决这类问题?不过今天的 90 天限制加上后应该盗号生成邀请码的问题就不会再发生了(除非 2fa 密钥泄漏) 我刚刚想到的一个方法是在生成邀请码的时候要求输入 2fa 的验证,这样也能一定程度上避免被“插件”和因为登录凭证等问题被盗号造成的金币损失。 不知这样的方法实现起来难度大么?我觉得加上 2fa 保护会好一点,毕竟邀请码都是邀请认识的人,生成邀请码肯定也是一个严肃的过程,所以输入两步验证看起来并不会降低邀请码生成的效率(因为本身也不需要高效率生成邀请码?) |
 | 90 xfelix 317 天前 via iPhone 看这个帖新增了两个知识点:1.铜币竟然有用. 2.网站竟然支持 2FA. |
| 91 lanbin07 317 天前 总结了一下这件事,写了一条主题: https://v2ex.com/t/1093491 |
 | 92 saranz 317 天前 还好大号金币不多。 |
 | 96 Citrus 317 天前 via iPhone @Livid 试了一下,目前改密码和开启 2FA 似乎都只需要密码,这个可能有点问题?如果密码泄漏了,那盗号者就可以直接改密码,开 2FA 。 好像一般情况下,2FA 开启之前,强制一个邮件验证码会更保险?印象中很多网站都是这么要求的。 |
 | 97 fkdtz 317 天前 通过这篇帖子我才知道,新号注册需要邀请码了,这样挺好的,姿瓷 |
| 98 xfelix 316 天前 不知道是不是网站的时间同步有些差异,我用微软的 Authenticator 作为 2FA 的 totp ,在操作需要 2fa 验证码的时候,有将近 1/3 的几率提示验证错误。在这个时候退出,重新登录往往可以成功。也不知道是 cookie 或者 session mgmt 有些问题?大家碰到过吗? |
 | 99 Licsber 316 天前 mt 的邀请码用过好多次 v2 的倒是一次没用过 感觉身边有能力访问到这的人一般都注册过了 金币目前只用来置顶帖子 |
 | 100 hideonwhere 316 天前 2FA 好像有时间戳 bug ,我 github 上的码一直提示错误,现在也无法登录要等重置时间。 |
Select Language