1
nasa OP 明天又要拎着大包小包,再次登上火车了...
|
2
huiter 2014-10-04 22:03:35 +08:00
你的密码是弱密码么
|
4
x86 2014-10-04 22:06:15 +08:00
iCloud绝b有可以解除帐号的Bug
|
6
surftheair 2014-10-04 22:16:06 +08:00
对方是如何登入你帐号的?社工库?
|
7
KK233 2014-10-04 22:17:24 +08:00
账号是gmail吗..gmail和qq都有几率解,gmail成功率很大,某宝搜iphone+gmail
|
8
surftheair 2014-10-04 22:21:55 +08:00
@KK233 愿闻其详,这个和邮箱后缀有什么关系?
|
11
Henrybsbhp 2014-10-04 22:26:25 +08:00 1
前段时间在宜家,女朋友在睡宜家床垫的时候不慎将一台 iPhone 5s 遗落在床上,后来发现手机不见,急死了,立马登陆 Find iPhone 找到机器还在宜家内,立马启用丢失模式并留言了自己的号码。因为设置了 Touch ID,发送短信的话,对方好心人就算捡到也无法查看。过了不久后就有人打电话过来了,宜家的工作人员捡到并看到了丢失模式发送的留言马上打电话给我,当时真是虚惊一场。不过对方是怎么更改你的 Apple ID 密码的,这点很奇怪啊,难道你的 iPod touch 里面没有上锁?里面有一些关于 ID 的信息,对方通过里面的信息更改了你的 Apple ID?
|
12
KK233 2014-10-04 22:27:58 +08:00
@surftheair @surftheair 嗯,不好意思.具体的我也不是很清楚,我只能复述一下那天听我同学跟我说的原话,我是听他说的.
他说apple id是gmail和qq的都能解除,gmail的成功几率大一点,大概60%还往上,QQ大概在50%以下,其他具体问题他没说,我也没好问.. |
13
ruanmeibi 2014-10-04 22:30:08 +08:00 via iPhone
@nasa 说个最简单的策略(一种可能性):无锁屏密码 >> 设置 >> Safari >> 密码和自动填充 >> OVER!!
|
15
zhoulujue 2014-10-04 22:32:24 +08:00
iPhone5 在北京动物园也丢过,但是“查找我的iPhone”一直都是离线,也没有收到密码重置的邮件。
|
16
nasa OP |
17
kmvan 2014-10-04 22:36:35 +08:00
我就搞不懂了,为何在人挤人的地方,还要带着耳机听歌?这么多人,歌曲是不是能听出一些平时听不到的韵味呢?
|
18
iuhux 2014-10-04 22:37:46 +08:00
我上个月挤公交的时候也是突然耳机不响了5s被偷,不过我比较幸运,当天下午警察就给我找回来了。
|
19
zts1993 2014-10-04 22:38:48 +08:00
gmail不是可以撞库么?莫非你的gmail和别的某个帐号密码相同?
|
20
nasa OP |
21
kmvan 2014-10-04 22:42:36 +08:00
当买个教训呗,看你以后还敢不敢人海中听歌
|
22
SquirrelMAN 2014-10-04 22:42:43 +08:00
就怕流氓有文化233
|
23
s12348765 2014-10-04 22:43:37 +08:00
表示继续关注,这真是太神奇了。你的apple密码 和平常使用的密码相同吗?如果可以的话 ,你把你绑定的appl的账号 发我一下 我试下 社工库里面是否有你的常用密码
|
24
surftheair 2014-10-04 22:43:40 +08:00
搜了淘宝感觉已经不是撞库这么简单了,而且特别针对gmail和qq邮箱,其他域名的邮箱就不行
|
26
czyhd 2014-10-04 22:44:29 +08:00
搜了一下好可怕。这个几率是怎么来的?gmail密码泄露?
|
28
surftheair 2014-10-04 22:44:49 +08:00
@nasa 看下你的gmail登录记录
|
30
surftheair 2014-10-04 22:50:02 +08:00
搜到这个新闻,说的是“QQ邮箱ID锁瞬间秒解,疑似腾讯内部员工出售QQ密码”
|
31
nasa OP |
32
RCheungIT 2014-10-04 22:52:23 +08:00 1
- - 真是震惊了 好奇怎么做的的 难道还是钓鱼、撞库
这样的话 做不到成功率应该不高吧 |
33
czyhd 2014-10-04 22:54:46 +08:00
lz联系一下苹果的客服吧。
|
34
surftheair 2014-10-04 22:56:33 +08:00 1
http://item.taobao.com/item.htm?id=39593285060
看下淘宝这家专门解gmail id锁的,牛逼死了,都是几分钟就搞定。难道大神把google攻破了可以进入任意gmail账户? |
35
Totoria 2014-10-04 22:58:56 +08:00
想起自己用在n个设备的gmail密码还是10几年前的生日弱密码... 7位数 看来该改改了
|
36
nasa OP @surftheair 看来gmail很不安全... gmail做主力邮箱的惨了
|
37
sumanx 2014-10-04 23:19:21 +08:00
lz是不是在touch上的邮件程序里添加了你的apple id的email?
|
38
lcxseima 2014-10-04 23:19:53 +08:00 via iPhone
楼主节哀、我们的社会坏掉了某宝的确可以让某些id锁被重置。
|
39
nasa OP |
41
GhostFlying 2014-10-04 23:40:18 +08:00 via Android
两步登录吧,不过找不到Gmail的登陆记录的话还是很奇怪
|
42
nasa OP |
43
GhostFlying 2014-10-04 23:45:43 +08:00 via Android
@nasa 没有记录的话感觉更像Apple方面的问题,只需为什么挑后缀实在不理解
|
44
surftheair 2014-10-04 23:52:01 +08:00
@GhostFlying 不过gmail也不一定非要登录进入才能查看到邮件比如通过API调用的,dropbox那个mailbox就能实时推送gmail的邮件
|
45
ivanchou 2014-10-04 23:54:21 +08:00
ios 设备有几点感觉很不靠谱,就算设置了锁屏密码,通知还是能看见;链接mac时,打开iphoto直接就能读照片。这有锁跟没锁有区别吗?
|
46
GhostFlying 2014-10-04 23:54:33 +08:00 via Android
@surftheair api也要明确授权的吧,我能想到的也就是邮箱应用这种了,但lz似乎表示没添加过
|
47
surftheair 2014-10-04 23:55:33 +08:00
@GhostFlying 不过真有大神掌握google的漏洞的话就什么都有可能了
|
48
GhostFlying 2014-10-04 23:56:19 +08:00 via Android
@surftheair 是有这可能,不过觉得这种概率还是很低的
|
49
lsmgeb89 2014-10-05 00:00:08 +08:00
gmail 这么不安全嘛?!
|
50
typcn 2014-10-05 00:02:29 +08:00
感觉不像是 Gmail 出的问题, 谷歌在中国都没有公司,海外的人很少“走后门”的。应该是 Apple 出的问题,是不是 Apple 发向 qq 或者 gmail 的邮件不是 Apple 自己的服务器? 或者经过了某种代理?
|
51
em70 2014-10-05 00:02:39 +08:00 via Android
抢座位是我个人很鄙视的行为
|
52
yehon 2014-10-05 00:15:54 +08:00
X宝上真的,只要10块钱…我还特意去搜索了一下。
|
53
nasa OP @GhostFlying 如何apple密码和gmail密码一样的问题就大了... 还是先启用下保险,密码一样的都改改
|
54
Showfom 2014-10-05 00:23:33 +08:00
我感觉是 Gmail 或者 Apple 的 0day 漏洞吧?
|
55
GhostFlying 2014-10-05 00:32:13 +08:00 via Android
@nasa 嗯,这是的,最好还是要用两步验证
|
56
zzNucker 2014-10-05 00:36:36 +08:00
妈的。。。太不安全了
|
57
GhostFlying 2014-10-05 00:38:17 +08:00 via Android
想了想,如果是0day,不管是Apple的还是Google的都好可怕,如果都流到淘宝赚这个钱了,之前不知道被用了多久了
|
58
userlogin 2014-10-05 00:41:02 +08:00
不要再人杂的地方戴耳机听音乐,不管你设备放口袋,还是放包包。况且人杂的地方音量还要加大,对耳朵也不好。
|
59
ghy459 2014-10-05 00:44:33 +08:00
表示强烈关注,这实在是太神奇了,同时限定 gmail 和 qq 后缀又让人费解。。。
可惜这服务太贵了,不然的话可以尝试把安全措施做到最足,然后让卖家去破解看看。。。 |
60
t2t2 2014-10-05 00:44:36 +08:00
碉堡了
|
61
karonl 2014-10-05 00:45:08 +08:00 via Android
|
62
Showfom 2014-10-05 00:52:00 +08:00
或者是楼主点了钓鱼邮件?
|
64
imrei 2014-10-05 00:59:06 +08:00
问一下楼主用的apple id是哪家的mail?
|
65
ghy459 2014-10-05 01:06:58 +08:00 3
讨论“解ID锁”这个问题,还是抛开LZ这个案例比较好。因为LZ的 touch 丢失时没有锁屏密码,所以拿到LZ相关资料的机会太多了,变量不好控制。
对于这个漏洞,还是从淘宝卖家的说明入手比较好。看了几家的详情,解锁只要提供IMEI和UUID就可以了,不需要拿到机器,是“软解”,而且成功率据说很高。 我先说说我的看法。 只有IMEI和UUID的话,我只知道能通过苹果的 GSX 查询到机器相关信息。具体有什么信息,因为我没查过所以不了解。假设不能查到激活的具体邮箱,那很有机会就是 iCloud 的一个未知漏洞了;但能查到具体激活邮箱的话,或许能借助社工手段或者撞库进行破解。当然,会有比 GSX 更牛叉的查询系统的存在,这个希望大家能补充一下。 我觉得“能不能查到具体邮箱”应该是一个分水岭,如果查不到那应该是 Apple 单方面的漏洞,能查到可能就是几种手段综合利用了。 最后,最令我费解的是为什么一定要指定 QQ邮箱 or Gmail邮箱。。。 |
66
mywaiting 2014-10-05 01:13:17 +08:00
板凳前来观看最新一期的 QQ邮箱和 GMail的密码重置漏洞~
|
67
shippo7 2014-10-05 01:13:22 +08:00
可能是QQ邮箱和Gmail在iOS上有某种bug,可以让人在设备锁定的情况下也获取到邮件内容
|
68
shippo7 2014-10-05 01:18:07 +08:00
我本人走路习惯手插在口袋里,在人多的场所走路时,一只手在口袋里握着设备不要离开。要做其它事情的时候,把设备掏出来拿在手里。
|
69
seamissu 2014-10-05 01:21:47 +08:00 via iPhone
教训啊。
感觉要搞清楚淘宝卖家的手法并曝光,免得此事再发生。 是不是考虑「花钱做几个对比实验,测试出淘宝卖家手法的可能原理」呢? |
70
cYcoco 2014-10-05 01:22:00 +08:00
同LZ z只不过我丢得是5S 也是qq邮箱。。。
|
71
shippo7 2014-10-05 01:32:01 +08:00
@ghy459 如果是查询Apple ID邮箱->破解邮箱密码->登录邮箱点击重置链接,这种思路的话,Gmail对于非常用地点登录会有警报,至少在“上次账户活动时间”里会有记录。
|
72
shippo7 2014-10-05 01:39:14 +08:00
这个淘宝卖家专门写了,他们很怕在不同淘宝店提交同一个手机的IMEI,否则将损害他们的“官方代理资格”
http://item.taobao.com/item.htm?spm=a230r.1.0.0.XgrXUo&id=39982027379&ns=1#detail 特别提醒: 1.)请您不要同时在多个地方提交对同一个IMEI的解锁申请,如果在申请我们的解锁申请时还申请有其他解锁商的解锁申请,请将申请退回后再申请我们的服务,否则无论解锁结果如何都不予退款,因为这样的行为不单会归为买家的投机欺诈,更会损害我们的官方代理资格,亲请您拍的时候特别注意,亲如果不接受此条请不要拍! 2.)解锁结果成功后以GSX官方权威查询服务信息为准,不接受GSX查询结果为解锁成功后的任何理由的退款。亲如果不接受此条请不要拍! 3.)解锁结果成功后GSX官方权威查询服务信息核实为成功后,不接受机器使用问题上的退款,比如联通4G套餐未开通不能使用4G或电信4G未开通导致的不能使用4G网络、移动4G运营商官方策略更改未及时更新运营商策略而无法使用4G网络等使用上的问题等。亲如果不接受此条请不要拍! |
73
ghy459 2014-10-05 01:48:41 +08:00
@shippo7 刚去 google 了一番,大概有下面几个结论:
1、GSX 能查到激活的具体邮箱。 2、秒解 ID 锁应该不是 Apple 的问题,但400客服能帮助解开 ID 锁。 3、JS 破解 ID 锁或许不需要你的邮箱密码,如: http://www.wooyun.org/bugs/wooyun-2014-054205,通过Gmail、QQ邮箱某个接口,能绕过你所做的安全措施直接登录邮箱。(这里的安全措施只包括QQ密码, “QQ令牌”or“Gmail两步认证”尚不清楚能否绕过) 4、为邮箱服务开启独立密码或许会有帮助。 |
74
shippo7 2014-10-05 02:08:03 +08:00
@ghy459
查询GSX需要苹果认证的维修人员 http://gsx.apple.com 这篇文章 http://mobile.163.com/14/0124/08/9JBE21130011179O_all.html 里400客服最后提到他们有办法解锁,但是没有透露更多。 估计这些淘宝店家都在联系同一个苹果认证维修人员的内鬼 |
75
surftheair 2014-10-05 02:55:29 +08:00
@shippo7 此锁非彼锁,一个是Apple ID锁,一个是运营商锁
|
76
shippo7 2014-10-05 03:14:51 +08:00
@surftheair 对,72楼我没看清楚
|
77
120910266 2014-10-05 04:32:09 +08:00
这个有点悲剧啊
|
78
robbielj 2014-10-05 06:38:27 +08:00
看完立刻去把apple id改成非gmail邮箱了
期待能有人把黑科技解释出来。 |
80
robbielj 2014-10-05 07:58:40 +08:00
稍微查了一下
感觉是不是和doulCi有关 但是gmail和qq这个要求就不明白了。 |
82
VYSE 2014-10-05 08:37:59 +08:00 via Android
后台三个诊断程序有个可以访问文件系统的,不知道有没有关系
|
83
yellowstar 2014-10-05 08:45:15 +08:00
@shippo7
我丢的5s也是被重置密码,且我的Gmail直接就收到密码重置成功的邮件,估计是利用客服解锁的,或者真的苹果有内鬼! |
84
chenshaoju 2014-10-05 08:46:25 +08:00
我不认为Gmail方面存在漏洞。
我怀疑是有人以“Gmail无法在国内访问”要求苹果修改了邮件地址。 |
85
x86 2014-10-05 08:52:35 +08:00 via iPhone
@chenshaoju 那qq邮箱呢?还是国外打不开qq邮箱?
|
86
caizixian 2014-10-05 09:23:32 +08:00
强势关注,细思恐极。希望有人能解释一下。
|
87
alsms 2014-10-05 09:49:11 +08:00
关注一下。有没有大神能剖析一下原理,好防范一下。
|
88
codex 2014-10-05 10:18:31 +08:00
@chenshaoju 这个靠谱,打客服电话,以Gmail无法访问为由,客服可能需要提供设备信息
|
89
cchange 2014-10-05 10:20:22 +08:00
这个也太狠了吧
怎么做到的???? 希望有后文 好多人的apple id是gmail邮箱啊 |
90
san3ye 2014-10-05 10:34:20 +08:00
10年前我同学的遭遇在你身上重现,同是人多抢个座,低头发现耳机那头依然没了手机。。。
|
92
mrlawrence 2014-10-05 11:23:16 +08:00
我觉得应该是内鬼吧。首先,只需要提供IMEI和UUID就可以解锁,并不需要其他复杂的破解方式。我严重怀疑这种看似轻松的解锁方式是官方的解锁手法。接着,淘宝卖家限定这两种邮箱,可能是apple系统后台对这两个邮箱存在某些bug,更容易解锁。我想gmail和qqmail应该没那么容易直接破解掉,轻易进入后台读取邮件然后修改掉密码。
|
93
raincious 2014-10-05 11:31:18 +08:00
或许是可以打开Gmail的App,然后看到邮件。
|
94
edwinlai 2014-10-05 11:36:35 +08:00
这也太狠了,之前帮朋友买一个4s,他给他老婆使用,他老婆随便设置一个id,然后一直使用不管了,后面升级ios7, 不知怎么整的被锁了,然后不记得id了, 现在还放着不能使用呢
|
95
ooxxcc 2014-10-05 11:37:06 +08:00
我的理解对不对,LZ没锁定itouch,并且在touch上登陆过自己的邮箱
于是对方直接找回密码然后解绑了? |
96
typcn 2014-10-05 11:51:25 +08:00
槽 我偶然间发现了一个办法 可以让锁定失败 不过必须联网之前做
|
97
ghy459 2014-10-05 12:06:55 +08:00
@shippo7 gsx查询淘宝遍地都是,10块钱就一次,要查根本不是问题。
总结了一下,JS 手中可能有你这些信息:IMEI、UUID、ID锁邮箱。 借助社工库,有了ID锁邮箱就很有机会能知道你的姓名、电话、各类常用密码等。 在撞库不能的情况下,上面这么多信息不知道能不能让客服解锁呢? |
98
Perry87 2014-10-05 12:28:11 +08:00
楼主,我在 Apple 的售后页面 查到了这个:
http://support.apple.com/kb/HT2526?viewlocale=zh_CN&locale=en_US “如果您丢失或找到了 Apple 产品,请联系当地的执法机构进行报告。” 所以你说的“4. 联系苹果,对设备做丢失的备案。如果拿到苹果店中可以委托他们扣下设备。” 这个步骤有用么?或者有尝试过的朋友能说说么? |
99
a154312237 2014-10-05 12:57:54 +08:00
好可怕 那用什么mail好啊 刚刚顺手吧上面几个tb链接举报了 233
|
100
chemzqm 2014-10-05 14:05:39 +08:00
猜测是有黑客利用了邮件服务器的系统漏洞编写了可以伪造用户收发邮件的脚本,之所以tb只有qq和gmail只是因为它们的用户量大,脚本好卖罢了
|