这是一个创建于 4027 天前的主题,其中的信息可能已经有所发展或是发生改变。
**事发经过**
___
9月29日做了很久的火车,到达老家已是6点半了,天基本已经都黑了。 火车站人很多,我背的包,拎着行李箱,听着耳机,itouch放在牛仔裤的口袋里,准备挤公交车回家。
公交车来了,我第一时间卡位,因为路远打算找个座位,当时大家也都挤了过来。这时我就担心身上东西不安全,也就在同时耳机不响了,低头一看就只剩下了一个耳机,itouch不见了。回头看去,人挤人,天色已黑,手里还拎着行李箱背着大包。 检查了一下身上,手机钱包证件后都在。 哎~ 叹气一声上了公交车。
**处理方案**
___
到家后第一时间上了icloud,启用"查找我的iphone",显示itouch是离线的,我在页面上做了几个操作,启用丢失模式,并且在手机上显示了一句话"此设备已经丢失,请联系XXXX"我的手机号。 点选了找到后通知我这个选项。 然后就是静静的等待了。
直到今天10月4日连着收到四封邮件
1. “如何重设您的 Apple ID 密码。”--下午3:40
2. “您的 Apple ID 密码已重设。”--下午3:41
3. ““查找我的 iPhone” 已在“nasa.wang”的 iPod 上禁用”--下午3:41
4. “您的 Apple ID 被用于登录“查找我的 iPhone”--下午3:42
我惊呆了... 第一时间又对我的密码进行了修改,对apple绑定的银行卡进行了解除。
进入iCloud,itouch已然不见了。
**总结**
___
1. 太粗心,明知是火车站比较乱自己东西还不看紧点,又用了最容易让小偷下手偷东西的姿势(带着耳机,设备放到裤兜里),只要一提耳机线设备就会跑出口袋,这时只要一拽,隐没在人群中就能溜之大吉。
2. 不应该去挤座位,如果还是这样听耳机,等别人上完我再上车,小偷下手的机会就少了很多。
3. 带的东西多的话就打车吧,能方便些。以免因小失大。
查过了资料后,如果我这样做了就能更好些:
1. 设备上一定要设置锁屏密码。
2. apple id启用两步验证机制
3. 再上上心,一直盯着iCloud监控.(不太现实)
4. 联系苹果,对设备做丢失的备案。如果拿到苹果店中可以委托他们扣下设备。
**疑问**
___
1. iCloud的“查找我的 iPhone”为何不生效!
2. 他们是如何重置我的密码的。这个太严重了!!!!
不知后续的我还能再做些什么? 请大家提点
___
9月29日做了很久的火车,到达老家已是6点半了,天基本已经都黑了。 火车站人很多,我背的包,拎着行李箱,听着耳机,itouch放在牛仔裤的口袋里,准备挤公交车回家。
公交车来了,我第一时间卡位,因为路远打算找个座位,当时大家也都挤了过来。这时我就担心身上东西不安全,也就在同时耳机不响了,低头一看就只剩下了一个耳机,itouch不见了。回头看去,人挤人,天色已黑,手里还拎着行李箱背着大包。 检查了一下身上,手机钱包证件后都在。 哎~ 叹气一声上了公交车。
**处理方案**
___
到家后第一时间上了icloud,启用"查找我的iphone",显示itouch是离线的,我在页面上做了几个操作,启用丢失模式,并且在手机上显示了一句话"此设备已经丢失,请联系XXXX"我的手机号。 点选了找到后通知我这个选项。 然后就是静静的等待了。
直到今天10月4日连着收到四封邮件
1. “如何重设您的 Apple ID 密码。”--下午3:40
2. “您的 Apple ID 密码已重设。”--下午3:41
3. ““查找我的 iPhone” 已在“nasa.wang”的 iPod 上禁用”--下午3:41
4. “您的 Apple ID 被用于登录“查找我的 iPhone”--下午3:42
我惊呆了... 第一时间又对我的密码进行了修改,对apple绑定的银行卡进行了解除。
进入iCloud,itouch已然不见了。
**总结**
___
1. 太粗心,明知是火车站比较乱自己东西还不看紧点,又用了最容易让小偷下手偷东西的姿势(带着耳机,设备放到裤兜里),只要一提耳机线设备就会跑出口袋,这时只要一拽,隐没在人群中就能溜之大吉。
2. 不应该去挤座位,如果还是这样听耳机,等别人上完我再上车,小偷下手的机会就少了很多。
3. 带的东西多的话就打车吧,能方便些。以免因小失大。
查过了资料后,如果我这样做了就能更好些:
1. 设备上一定要设置锁屏密码。
2. apple id启用两步验证机制
3. 再上上心,一直盯着iCloud监控.(不太现实)
4. 联系苹果,对设备做丢失的备案。如果拿到苹果店中可以委托他们扣下设备。
**疑问**
___
1. iCloud的“查找我的 iPhone”为何不生效!
2. 他们是如何重置我的密码的。这个太严重了!!!!
不知后续的我还能再做些什么? 请大家提点
第 1 条附言 2014-10-04 23:11:24 +08:00
重置密码的问题
初步估计应该是如果通过QQ或者gmail激活的苹果设备,某宝上有买家能直接重置你的apple密码,整个过程只需要1分钟。
初步估计应该是如果通过QQ或者gmail激活的苹果设备,某宝上有买家能直接重置你的apple密码,整个过程只需要1分钟。
 | 1 nasa OP 明天又要拎着大包小包,再次登上火车了... |
 | 2 huiter 2014-10-04 22:03:35 +08:00 你的密码是弱密码么 |
 | 4 x86 2014-10-04 22:06:15 +08:00 iCloud绝b有可以解除帐号的Bug |
 | 6 surftheair 2014-10-04 22:16:06 +08:00 对方是如何登入你帐号的?社工库? |
 | 7 KK233 2014-10-04 22:17:24 +08:00 账号是gmail吗..gmail和qq都有几率解,gmail成功率很大,某宝搜iphone+gmail |
| 8 surftheair 2014-10-04 22:21:55 +08:00 @KK233 愿闻其详,这个和邮箱后缀有什么关系? |
 | 11 Henrybsbhp 2014-10-04 22:26:25 +08:00  1 前段时间在宜家,女朋友在睡宜家床垫的时候不慎将一台 iPhone 5s 遗落在床上,后来发现手机不见,急死了,立马登陆 Find iPhone 找到机器还在宜家内,立马启用丢失模式并留言了自己的号码。因为设置了 Touch ID,发送短信的话,对方好心人就算捡到也无法查看。过了不久后就有人打电话过来了,宜家的工作人员捡到并看到了丢失模式发送的留言马上打电话给我,当时真是虚惊一场。不过对方是怎么更改你的 Apple ID 密码的,这点很奇怪啊,难道你的 iPod touch 里面没有上锁?里面有一些关于 ID 的信息,对方通过里面的信息更改了你的 Apple ID? |
| 12 KK233 2014-10-04 22:27:58 +08:00 @surftheair @surftheair 嗯,不好意思.具体的我也不是很清楚,我只能复述一下那天听我同学跟我说的原话,我是听他说的. 他说apple id是gmail和qq的都能解除,gmail的成功几率大一点,大概60%还往上,QQ大概在50%以下,其他具体问题他没说,我也没好问.. |
 | 13 ruanmeibi 2014-10-04 22:30:08 +08:00 via iPhone @nasa 说个最简单的策略(一种可能性):无锁屏密码 >> 设置 >> Safari >> 密码和自动填充 >> OVER!! |
 | 15 zhoulujue 2014-10-04 22:32:24 +08:00 iPhone5 在北京动物园也丢过,但是“查找我的iPhone”一直都是离线,也没有收到密码重置的邮件。 |
| 16 nasa OP |
 | 17 kmvan 2014-10-04 22:36:35 +08:00 我就搞不懂了,为何在人挤人的地方,还要带着耳机听歌?这么多人,歌曲是不是能听出一些平时听不到的韵味呢? |
 | 18 iuhux 2014-10-04 22:37:46 +08:00 我上个月挤公交的时候也是突然耳机不响了5s被偷,不过我比较幸运,当天下午警察就给我找回来了。 |
 | 19 zts1993 2014-10-04 22:38:48 +08:00 gmail不是可以撞库么?莫非你的gmail和别的某个帐号密码相同? |
| 20 nasa OP |
| 21 kmvan 2014-10-04 22:42:36 +08:00 当买个教训呗,看你以后还敢不敢人海中听歌 |
 | 22 SquirrelMAN 2014-10-04 22:42:43 +08:00 就怕流氓有文化233 |
 | 23 s12348765 2014-10-04 22:43:37 +08:00 表示继续关注,这真是太神奇了。你的apple密码 和平常使用的密码相同吗?如果可以的话 ,你把你绑定的appl的账号 发我一下 我试下 社工库里面是否有你的常用密码 |
| 24 surftheair 2014-10-04 22:43:40 +08:00 搜了淘宝感觉已经不是撞库这么简单了,而且特别针对gmail和qq邮箱,其他域名的邮箱就不行 |
 | 26 czyhd 2014-10-04 22:44:29 +08:00 搜了一下好可怕。这个几率是怎么来的?gmail密码泄露? |
| 28 surftheair 2014-10-04 22:44:49 +08:00 @nasa 看下你的gmail登录记录 |
| 30 surftheair 2014-10-04 22:50:02 +08:00 搜到这个新闻,说的是“QQ邮箱ID锁瞬间秒解,疑似腾讯内部员工出售QQ密码” |
| 31 nasa OP |
 | 32 RCheungIT 2014-10-04 22:52:23 +08:00 1 - - 真是震惊了 好奇怎么做的的 难道还是钓鱼、撞库 这样的话 做不到成功率应该不高吧 |
| 33 czyhd 2014-10-04 22:54:46 +08:00 lz联系一下苹果的客服吧。 |
| 34 surftheair 2014-10-04 22:56:33 +08:00 1 http://item.taobao.com/item.htm?id=39593285060 看下淘宝这家专门解gmail id锁的,牛逼死了,都是几分钟就搞定。难道大神把google攻破了可以进入任意gmail账户? |
 | 35 Totoria 2014-10-04 22:58:56 +08:00 想起自己用在n个设备的gmail密码还是10几年前的生日弱密码... 7位数 看来该改改了 |
| 36 nasa OP @surftheair 看来gmail很不安全... gmail做主力邮箱的惨了 |
 | 37 sumanx 2014-10-04 23:19:21 +08:00 lz是不是在touch上的邮件程序里添加了你的apple id的email? |
 | 38 lcxseima 2014-10-04 23:19:53 +08:00 via iPhone 楼主节哀、我们的社会坏掉了某宝的确可以让某些id锁被重置。 |
| 39 nasa OP |
 | 41 GhostFlying 2014-10-04 23:40:18 +08:00 via Android 两步登录吧,不过找不到Gmail的登陆记录的话还是很奇怪 |
| 42 nasa OP |
| 43 GhostFlying 2014-10-04 23:45:43 +08:00 via Android @nasa 没有记录的话感觉更像Apple方面的问题,只需为什么挑后缀实在不理解 |
| 44 surftheair 2014-10-04 23:52:01 +08:00 @GhostFlying 不过gmail也不一定非要登录进入才能查看到邮件比如通过API调用的,dropbox那个mailbox就能实时推送gmail的邮件 |
 | 45 ivanchou 2014-10-04 23:54:21 +08:00 ios 设备有几点感觉很不靠谱,就算设置了锁屏密码,通知还是能看见;链接mac时,打开iphoto直接就能读照片。这有锁跟没锁有区别吗? |
| 46 GhostFlying 2014-10-04 23:54:33 +08:00 via Android @surftheair api也要明确授权的吧,我能想到的也就是邮箱应用这种了,但lz似乎表示没添加过 |
| 47 surftheair 2014-10-04 23:55:33 +08:00 @GhostFlying 不过真有大神掌握google的漏洞的话就什么都有可能了 |
| 48 GhostFlying 2014-10-04 23:56:19 +08:00 via Android @surftheair 是有这可能,不过觉得这种概率还是很低的 |
 | 49 lsmgeb89 2014-10-05 00:00:08 +08:00 gmail 这么不安全嘛?! |
 | 50 typcn 2014-10-05 00:02:29 +08:00 感觉不像是 Gmail 出的问题, 谷歌在中国都没有公司,海外的人很少“走后门”的。应该是 Apple 出的问题,是不是 Apple 发向 qq 或者 gmail 的邮件不是 Apple 自己的服务器? 或者经过了某种代理? |
 | 51 em70 2014-10-05 00:02:39 +08:00 via Android 抢座位是我个人很鄙视的行为 |
 | 52 yehon 2014-10-05 00:15:54 +08:00 X宝上真的,只要10块钱…我还特意去搜索了一下。 |
| 53 nasa OP @GhostFlying 如何apple密码和gmail密码一样的问题就大了... 还是先启用下保险,密码一样的都改改 |
 | 54 Showfom PRO 我感觉是 Gmail 或者 Apple 的 0day 漏洞吧? |
| 55 GhostFlying 2014-10-05 00:32:13 +08:00 via Android @nasa 嗯,这是的,最好还是要用两步验证 |
 | 56 zzNucker 2014-10-05 00:36:36 +08:00 妈的。。。太不安全了 |
| 57 GhostFlying 2014-10-05 00:38:17 +08:00 via Android 想了想,如果是0day,不管是Apple的还是Google的都好可怕,如果都流到淘宝赚这个钱了,之前不知道被用了多久了 |
 | 58 userlogin 2014-10-05 00:41:02 +08:00 不要再人杂的地方戴耳机听音乐,不管你设备放口袋,还是放包包。况且人杂的地方音量还要加大,对耳朵也不好。 |
 | 59 ghy459 2014-10-05 00:44:33 +08:00 表示强烈关注,这实在是太神奇了,同时限定 gmail 和 qq 后缀又让人费解。。。 可惜这服务太贵了,不然的话可以尝试把安全措施做到最足,然后让卖家去破解看看。。。 |
 | 60 t2t2 2014-10-05 00:44:36 +08:00 碉堡了 |
 | 61 karonl 2014-10-05 00:45:08 +08:00 via Android |
| 62 Showfom PRO 或者是楼主点了钓鱼邮件? |
 | 64 imrei 2014-10-05 00:59:06 +08:00 问一下楼主用的apple id是哪家的mail? |
| 65 ghy459 2014-10-05 01:06:58 +08:00 3 讨论“解ID锁”这个问题,还是抛开LZ这个案例比较好。因为LZ的 touch 丢失时没有锁屏密码,所以拿到LZ相关资料的机会太多了,变量不好控制。 对于这个漏洞,还是从淘宝卖家的说明入手比较好。看了几家的详情,解锁只要提供IMEI和UUID就可以了,不需要拿到机器,是“软解”,而且成功率据说很高。 我先说说我的看法。 只有IMEI和UUID的话,我只知道能通过苹果的 GSX 查询到机器相关信息。具体有什么信息,因为我没查过所以不了解。假设不能查到激活的具体邮箱,那很有机会就是 iCloud 的一个未知漏洞了;但能查到具体激活邮箱的话,或许能借助社工手段或者撞库进行破解。当然,会有比 GSX 更牛叉的查询系统的存在,这个希望大家能补充一下。 我觉得“能不能查到具体邮箱”应该是一个分水岭,如果查不到那应该是 Apple 单方面的漏洞,能查到可能就是几种手段综合利用了。 最后,最令我费解的是为什么一定要指定 QQ邮箱 or Gmail邮箱。。。 |
 | 66 mywaiting 2014-10-05 01:13:17 +08:00 板凳前来观看最新一期的 QQ邮箱和 GMail的密码重置漏洞~ |
 | 67 shippo7 2014-10-05 01:13:22 +08:00 可能是QQ邮箱和Gmail在iOS上有某种bug,可以让人在设备锁定的情况下也获取到邮件内容 |
| 68 shippo7 2014-10-05 01:18:07 +08:00 我本人走路习惯手插在口袋里,在人多的场所走路时,一只手在口袋里握着设备不要离开。要做其它事情的时候,把设备掏出来拿在手里。 |
 | 69 seamissu 2014-10-05 01:21:47 +08:00 via iPhone 教训啊。 感觉要搞清楚淘宝卖家的手法并曝光,免得此事再发生。 是不是考虑「花钱做几个对比实验,测试出淘宝卖家手法的可能原理」呢? |
 | 70 cYcoco 2014-10-05 01:22:00 +08:00 同LZ z只不过我丢得是5S 也是qq邮箱。。。 |
| 71 shippo7 2014-10-05 01:32:01 +08:00 @ghy459 如果是查询Apple ID邮箱->破解邮箱密码->登录邮箱点击重置链接,这种思路的话,Gmail对于非常用地点登录会有警报,至少在“上次账户活动时间”里会有记录。 |
| 72 shippo7 2014-10-05 01:39:14 +08:00 这个淘宝卖家专门写了,他们很怕在不同淘宝店提交同一个手机的IMEI,否则将损害他们的“官方代理资格” http://item.taobao.com/item.htm?spm=a230r.1.0.0.XgrXUo&id=39982027379&ns=1#detail 特别提醒: 1.)请您不要同时在多个地方提交对同一个IMEI的解锁申请,如果在申请我们的解锁申请时还申请有其他解锁商的解锁申请,请将申请退回后再申请我们的服务,否则无论解锁结果如何都不予退款,因为这样的行为不单会归为买家的投机欺诈,更会损害我们的官方代理资格,亲请您拍的时候特别注意,亲如果不接受此条请不要拍! 2.)解锁结果成功后以GSX官方权威查询服务信息为准,不接受GSX查询结果为解锁成功后的任何理由的退款。亲如果不接受此条请不要拍! 3.)解锁结果成功后GSX官方权威查询服务信息核实为成功后,不接受机器使用问题上的退款,比如联通4G套餐未开通不能使用4G或电信4G未开通导致的不能使用4G网络、移动4G运营商官方策略更改未及时更新运营商策略而无法使用4G网络等使用上的问题等。亲如果不接受此条请不要拍! |
| 73 ghy459 2014-10-05 01:48:41 +08:00 @shippo7 刚去 google 了一番,大概有下面几个结论: 1、GSX 能查到激活的具体邮箱。 2、秒解 ID 锁应该不是 Apple 的问题,但400客服能帮助解开 ID 锁。 3、JS 破解 ID 锁或许不需要你的邮箱密码,如: http://www.wooyun.org/bugs/wooyun-2014-054205,通过Gmail、QQ邮箱某个接口,能绕过你所做的安全措施直接登录邮箱。(这里的安全措施只包括QQ密码, “QQ令牌”or“Gmail两步认证”尚不清楚能否绕过) 4、为邮箱服务开启独立密码或许会有帮助。 |
| 74 shippo7 2014-10-05 02:08:03 +08:00 @ghy459 查询GSX需要苹果认证的维修人员 http://gsx.apple.com 这篇文章 http://mobile.163.com/14/0124/08/9JBE21130011179O_all.html 里400客服最后提到他们有办法解锁,但是没有透露更多。 估计这些淘宝店家都在联系同一个苹果认证维修人员的内鬼 |
| 75 surftheair 2014-10-05 02:55:29 +08:00 @shippo7 此锁非彼锁,一个是Apple ID锁,一个是运营商锁 |
| 76 shippo7 2014-10-05 03:14:51 +08:00 @surftheair 对,72楼我没看清楚 |
 | 77 120910266 2014-10-05 04:32:09 +08:00 这个有点悲剧啊 |
 | 78 robbielj 2014-10-05 06:38:27 +08:00 看完立刻去把apple id改成非gmail邮箱了 期待能有人把黑科技解释出来。 |
| 80 robbielj 2014-10-05 07:58:40 +08:00 稍微查了一下 感觉是不是和doulCi有关 但是gmail和qq这个要求就不明白了。 |
 | 82 VYSE 2014-10-05 08:37:59 +08:00 via Android 后台三个诊断程序有个可以访问文件系统的,不知道有没有关系 |
 | 83 yellowstar 2014-10-05 08:45:15 +08:00 @shippo7 我丢的5s也是被重置密码,且我的Gmail直接就收到密码重置成功的邮件,估计是利用客服解锁的,或者真的苹果有内鬼! |
 | 84 chenshaoju 2014-10-05 08:46:25 +08:00 我不认为Gmail方面存在漏洞。 我怀疑是有人以“Gmail无法在国内访问”要求苹果修改了邮件地址。 |
| 85 x86 2014-10-05 08:52:35 +08:00 via iPhone @chenshaoju 那qq邮箱呢?还是国外打不开qq邮箱? |
 | 86 caizixian 2014-10-05 09:23:32 +08:00 强势关注,细思恐极。希望有人能解释一下。 |
 | 87 alsms 2014-10-05 09:49:11 +08:00 关注一下。有没有大神能剖析一下原理,好防范一下。 |
 | 88 codex 2014-10-05 10:18:31 +08:00 @chenshaoju 这个靠谱,打客服电话,以Gmail无法访问为由,客服可能需要提供设备信息 |
 | 89 cchange 2014-10-05 10:20:22 +08:00 这个也太狠了吧 怎么做到的???? 希望有后文 好多人的apple id是gmail邮箱啊 |
 | 90 san3ye 2014-10-05 10:34:20 +08:00 10年前我同学的遭遇在你身上重现,同是人多抢个座,低头发现耳机那头依然没了手机。。。 |
 | 92 mrlawrence 2014-10-05 11:23:16 +08:00 我觉得应该是内鬼吧。首先,只需要提供IMEI和UUID就可以解锁,并不需要其他复杂的破解方式。我严重怀疑这种看似轻松的解锁方式是官方的解锁手法。接着,淘宝卖家限定这两种邮箱,可能是apple系统后台对这两个邮箱存在某些bug,更容易解锁。我想gmail和qqmail应该没那么容易直接破解掉,轻易进入后台读取邮件然后修改掉密码。 |
 | 93 raincious 2014-10-05 11:31:18 +08:00 或许是可以打开Gmail的App,然后看到邮件。 |
 | 94 edwinlai 2014-10-05 11:36:35 +08:00 这也太狠了,之前帮朋友买一个4s,他给他老婆使用,他老婆随便设置一个id,然后一直使用不管了,后面升级ios7, 不知怎么整的被锁了,然后不记得id了, 现在还放着不能使用呢 |
 | 95 47jm9ozp 2014-10-05 11:37:06 +08:00 我的理解对不对,LZ没锁定itouch,并且在touch上登陆过自己的邮箱 于是对方直接找回密码然后解绑了? |
| 96 typcn 2014-10-05 11:51:25 +08:00 槽 我偶然间发现了一个办法 可以让锁定失败 不过必须联网之前做  |
| 97 ghy459 2014-10-05 12:06:55 +08:00 @shippo7 gsx查询淘宝遍地都是,10块钱就一次,要查根本不是问题。 总结了一下,JS 手中可能有你这些信息:IMEI、UUID、ID锁邮箱。 借助社工库,有了ID锁邮箱就很有机会能知道你的姓名、电话、各类常用密码等。 在撞库不能的情况下,上面这么多信息不知道能不能让客服解锁呢? |
 | 98 Perry87 2014-10-05 12:28:11 +08:00 楼主,我在 Apple 的售后页面 查到了这个: http://support.apple.com/kb/HT2526?viewlocale=zh_CN&locale=en_US “如果您丢失或找到了 Apple 产品,请联系当地的执法机构进行报告。” 所以你说的“4. 联系苹果,对设备做丢失的备案。如果拿到苹果店中可以委托他们扣下设备。” 这个步骤有用么?或者有尝试过的朋友能说说么? |
 | 99 a154312237 2014-10-05 12:57:54 +08:00 好可怕 那用什么mail好啊 刚刚顺手吧上面几个tb链接举报了 233 |
 | 100 chemzqm 2014-10-05 14:05:39 +08:00 猜测是有黑客利用了邮件服务器的系统漏洞编写了可以伪造用户收发邮件的脚本,之所以tb只有qq和gmail只是因为它们的用户量大,脚本好卖罢了 |
Select Language