九月星空

Security

亲身经历告诉你Hotmail和Gmail的安全性是多么不堪一击

作者: 2011年09月09日, 分类:Security

我有两个常用信箱(文中简称**@live.com和l*******@gmail.com),密码强度很高,是字母数字混合的9位密码.两个信箱密码是一样的.自我安全意识谈不上很高吧,但也算是一般以上.
就在昨天上午,我发现我的Gmail代收不到从hotmail发送过来的邮件了.
于是打开hotmail准备登录我的Windows live ID,却发现,系统提示"电子邮件地址或密码不正确,请重试。".重新登录一次仍是如此提示,这时我意识到信箱被盗了(这个Live ID备用安全信箱设置的是我的Gmail信箱,但是却没有收到修改密码的邮件提示).
带着种种疑点我点击下方的"忘记密码了?"来重置密码.

选择" 通过电子邮件向我发送重新设置链接 "发现备用信箱已经被更改. 于是选择 客户支持来申诉重置密码.
此时我想到是不是入侵者也是通过申诉重置了我的信箱密码,填完各种以往能记起的相关资料以及新的接收邮件后,系统提示24小时内如果申诉成功我会收到重置密码的信件.
Hotmail的效率还是挺快的,大约到下午三点的时候我的Gmail收到了重置密码的邮件.更改了新密码后登入我的Hotmail信箱,发现个人资料全部被篡改.

胡乱填写的信箱后缀竟然都能通过确认???..

当我删除"密码重新设置信息"中的入侵者添加的邮件时,系统提示要通过备用邮件验证才可以删除备用邮箱,于是我放弃了这个操作.
接下来修改并完善其它资料,添加并验证了我的手机号码,更改安全问题(这时发现更改安全问题和答案是不需要以前设置的信息的,只需要当前密码即可,这样的话安全问题形同虚设.),
此后我试着再次删除入侵者设置的三个备用信箱,发现可以通过所绑定的手机短信验证这个途径进行删除.我删除了这些备用信箱的绑定,并重新添加了我的Gmail信箱和QQ附带的信箱(备用信箱可以无限的添加,这就意味着只要别人知道你的密码登入进来,就可以绑定上他的信箱地址,这样就算你更改了密码,他还是能重置你的密码,而这唯一的办法就是绑定手机来删除备用邮件).

重置完所有资料后进入邮箱主界面,发现满屏尽是阿拉伯文,无奈之下只好用Chrome打开一个隐身窗口申请一个新的Live ID登入进去,试着对应着中文页面把原有的信箱语言设置回来.
设置后页面恢复正常却发现无论如何邮箱的主界面还是阿拉伯文,而其他页面都已恢复简体中文了..清空浏览器缓存,换手机登陆都是如此...想想反正信件都是用Gmail自动代收都无所谓了...

有一点有意思的就是发现信箱大概是大概五天前被盗的,这些天内入侵者修改了资料和头像,并加了几个好友.完全准备当做自己的新信箱用了.

这样第一次信箱被盗算是告一段落...
有个疑问就是我之前自己绑定的信箱被取消却没收到确认邮件又是为何被解绑,入侵者并没有绑定手机来解绑我的密码.大概真的是通过客户申诉重置了所有的资料吧.想想入侵者并没有知道我的密码,而是通过申诉或者其他方式修改了密码.于是我又把密码改成以前那一个(密码多了容易忘).

总结一下:
Hotmail的信箱只要被入侵者重置密码,对方可以任意修改你的密码,任意解绑你的备用安全信箱并把自己的添加上去,可以任意修改你的安全问题,可以任意添加验证手机.而你在信箱被盗后只有乖乖的去申诉.安全信箱,安全问题,完全是形同虚设.

而我记得的国内的绝大多数网络服务,修改密码的时候是要回答安全问题的,而安全问题是不能修改的,如果可以修改也是要验证之前的安全答案.而Hotmail.......

=========================艹尼玛的分割线=====================================
今天早上5点47.我被短信吵醒了,短信来自[丹麦004560993100000],是Hotmail的短信,内容提示是"计划从**@live.com"删除l*******@gmail和10******@qq.com.
这时我意识到在距我找回密码的15个小时后我的信箱又被盗了.
不容时间分析到底是怎么回事,我只有尽快抢时间挽回.身边没有电脑,只有用手机赶在入侵者前修改密码.
可登录时发现还是被入侵者捷足先登改了密码.我再次试着重置密码,发现这次入侵者只是添加了新的备用信箱而没有删除之前我添加的.用备用信箱重置密码是会往所有的备用信箱发送重置邮件了,当然只有第一次操作是有效的,现在只有抢时间了.

登入Gmail,发现也被盗取了.这时我想大概真是密码被偷了吧,因为密码是一样的..之所以这样认为我并没有怀疑Gmail也会有和Hotmail一样如此差的安全性.为了抢之间没顾那么多先登录QQ信箱重置密码.接下来重复昨天那些操作重置所有资料并把密码改成了一个与之前不一样的.然后去找回Gmail密码.

图片是在电脑上摘的..当时在手机上幸好还是显示简体中文.大概意思就是除我绑定的备用信箱和电话之外,入侵者修改了我的密码并且绑定了一个新的邮箱和电话.而且系统很好心的提示我考虑到安全性我之前绑定的信箱和电话在10月8日之前还是有效的..
这就意味着如果我能借着Chrome的网页翻译看懂这坑爹的阿拉伯文和忍着头晕头疼从左到右看完这些字,并且可能不需验证就可以解绑入侵者绑定的信箱和电话后(可能真不需验证,不然为什么我的安全邮箱和电话怎么都没收到验证提示呢.).
入侵者和我一样在一个月内仍然可以通过他设置的邮箱和电话找回我的Gmail密码(这点还不如和Hotmail一样可以无限添加安全信箱和安全手机呢,起码我还有翻身的机会)...
尼玛我的Gmail被绑架了.

再看看Gmail的安全性吧.我申请了一个新的Gmail..完整设置了资料.看看吧.和Hotmail一样的坑爹..仅仅知道当前密码就可以直接改密码,而安全问题 安全手机 安全信箱在登入后可以直接更改.

重置了Gmail密码之后,重新登录Hotmail.借用网页翻译发现.我的Hotmail已经被入侵者申请锁定了.

这局算是完败了.Hotmail被锁.Gmail被绑架...现在先把所有邮件备份.删除信箱里的信件以免遭受更多损失.等黑客和我比不够耐心的时候,密码统统改掉,以后只敢在手机上登录了.

我还会再回来的!亲....>_<

---------------------------

2011-9-9 AM 10:52 最新进展. 刚才登入Hotmail 右下角弹出在线聊天,用的是阿拉伯语.
入侵者同另外一个人在聊天,因为可以多位置在线,我给他发消息确认了他就是入侵者 还说他就喜欢盗取账号...还扬言再修改我的密码

艹尼玛. 来吧 老子和你斗到死..

6 Comments 更多...

找啥捏?

使用下方搜索框搜索本站:

还没找到你想搜索的东东?那就给哥留言或者联系哥吧!

博客链接

随便看看,不收钱的啊……