V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
resuly
V2EX  ›  分享发现

如何在百度账号密保均有效的情况下被盗

  •  1
     
  •   resuly · 2020-03-12 07:23:59 +08:00 · 4028 次点击
    这是一个创建于 846 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景:

    百度老用户,大概 04 或 05 年就注册了,那时候主要还是贴吧、百度空间。我账号绑定的手机号和邮箱均为可用状态,网盘 VIP 超级会员。由于用户名短,断断续续的有人来问账号卖不卖,我一直觉得无聊没当回事,但这一次竟然直接导致账号被盗,细思极恐。

    故事时间线:

    2020-03-07 周六 QQ 上有人加我,直接说出了我的实名,我没理他。

    https://i.imgur.com/ey9SR06.png https://i.imgur.com/FGTjuDi.png https://i.imgur.com/ttTM5aD.jpg

    2020-03-10 周二 PC 端百度网盘(官方客户端)突然跳出提示,类似“该账户不安全”,让我输入邮箱收到的验证码,我输入后过了一会儿,账户自动退出。再登录已经密码不正确。

    https://i.imgur.com/Z2eehjV.png

    尝试找回密码,提示账户已冻结。

    由于人在国外,国内的 sim 卡一直放在备用机里面接收验证码,平时不用。打开备用机,收到如下两条短信:

    https://i.imgur.com/pJF57Bl.png https://i.imgur.com/RP3mCQT.png

    尝试点击短信中的链接,已然失效。这才明白过来,可能这小人知道了我的个人信息,直接人工申诉把手机号改了。但除了这两条短信,我没收到其他任何通知,包括邮箱、客户端。也就是说,如果没有在 12 小时内没对短信进行操作,绑定手机号直接会被修改,呵呵。

    于是打了很多次百度网盘人工客服才得知唯一的投诉通道:下载百度网盘或者百度客户端,用另一个可用的百度账号,点击我的->设置->账号管理->页面最下面有个意见反馈->选择被盗号,填表单

    https://i.imgur.com/vrIDkYp.jpg https://i.imgur.com/iB1bhHe.jpg

    人工客服竟没有任何权限,只能照本宣科教我用 App。我问有没有其他端的反馈通道比如 PC 或者电话,他们明确表示上面的操作是唯一的方式。这样的机制是想提高移动端日活吗?

    关于这个投诉表单也很气人,这里有 200 字和 3 张图的描述限制。不仅如此,我在手机端艰难填完后竟无法上传,一直“系统繁忙”。尝试四五次无果,再次致电人工客服!客服小妹表示只能稍后再试。我怀疑服务端禁了海 IP 或者触发了敏感慈?后来把同样的表单信息发给国内朋友操作,终于成功,但到现在没有任何进度。我现在备用机随身携带,还是没有等到有人打电话跟我确认。


    可笑的是,1 月 29 日刚刚给网盘冲过会员,到现在还没到期。

    https://i.imgur.com/TJQhXTu.png

    尝试给知乎的 “百度账号中心” 发信息,也石沉大海。

    唯一让我在乎和生气的是百度网盘中的个人信息,从零零散散的照片、简历到毕业设计,我并不想泄露给他人。

    一个正常用户可以被轻易修改账号,让我不禁感叹百度的每况愈下。

    劝君删除个人隐私数据,做好随时账号易主的准备,因为你不知道网络中哪个阴暗的角落正在对你蠢蠢欲动。

    第 1 条附言  ·  2021-07-01 08:47:05 +08:00
    感谢帖子中的 hugodotlau 帮助,问题虽然最终解决,但也可谓一波三折。

    2020-03-12 - 向 hugodotlau 提供的邮箱发送证据
    2020-03-18 - 回信表示已反馈给 Passport 的部门,可以确定为盗号,找回的手续正在走工单系统
    2020-03-25 - 接到来自百度的电话,问了我很多个人信息,最后说需要进一步核实,然后没了音讯
    2020-03-31 - 过了几周依然没有任何回应,我继续发邮件询问如何联系 passport 部门,没有得到回复

    2020-04-07 15:00 - 又过了一周,依然没有任何回应。我对这种拖拖拉拉的办事态度十分失望,于是写信骂了一下他们糟糕的内部管理,没有得到邮件回复
    2020-04-07 16:00 - 在网上搜到了李彦宏的邮箱,不知道对不对,发邮件吐槽这件事,没有得到邮件回复
    2020-04-07 20:30 - 不知道是哪个邮件的作用,当晚接到了来自北京的两个电话,应该是百度的。但我一接听对方就挂断,感觉像是在完成“拨打电话”这个动作,很奇怪

    2020-04-08 09:00 - 收到百度帐号客服团队邮件,表示 1. 需要通过邮箱进一步提供辅助验证信息 2. 昨天他们的专家多次拨打我的号码无人接听(实际上我只接到两个电话,没等我说话对方就挂断)
    2020-04-08 12:00 - 发送邮件提供银行卡账单等证据
    2020-04-08 13:44 - 收到百度帐号客服团队邮件,表示 “经核实您所提供的信息真实有效,可判定账号归属,烦请您提供所需绑定手机 /邮箱,客服人员协助您绑定”
    2020-04-08 18:36 - 完成新的手机邮箱绑定,并将我的账户加入为申诉保护(任何人无法提交申诉),至此账号成功找回
    23 条回复    2021-06-30 21:59:13 +08:00
    jerryrib
        1
    jerryrib  
       2020-03-12 07:28:05 +08:00 via Android
    自建 nas
    luxiaotian007
        2
    luxiaotian007  
       2020-03-12 07:30:54 +08:00 via Android
    细思极恐
    juded
        3
    juded  
       2020-03-12 07:41:09 +08:00 via Android
    账户申诉需要实名不?或者登陆过第三方网盘客户端没?
    resuly
        4
    resuly  
    OP
       2020-03-12 07:52:03 +08:00
    @juded 之前登录过 Pandownload 有会员就没用了。

    来自官方唯一投诉通道的最新回复:


    只是把流程说明了一遍,标准的机器人回复。安装这个流程会提示已冻结,无法申诉,这是一个死循环。
    totoro625
        5
    totoro625  
       2020-03-12 08:38:02 +08:00 via iPhone   ❤️ 9
    百度 BDUSS 永不过期的,改密码也没用
    你在任何一个地方泄漏了 cookie,只能祈祷没被有心人利用
    举个例子,我 14 年在一个百度贴吧云签到平台留下了 bduss,直到今天,我关注的全部贴吧还在自动签到,成为部分 lv13 几乎全部 lv12 的大水逼。
    这五年期间我改过密码改过手机改过密保,屁用没有。
    别人有你 bduss 直接可以登录你百度账户,至于百度云存放的隐私资料,我只能好心安慰楼主别人不在乎你的隐私了
    照片的话,你最好想想没放什么漏骨的照片了

    另外绑定一个不开机的手机号码真是.......

    另外奉劝各位网友,隐私别上云,
    非要上云至少加密或者跨国存储,不会那么容易被偷,因为文化差异外国人开发的东西更加在乎隐私

    作为一个隐私怪,打包加密码是底线,不 gpg 加密一下心理都不踏实、就是 gpg 加密大文件经常会崩溃,也不知道为啥
    resuly
        6
    resuly  
    OP
       2020-03-12 08:47:28 +08:00
    @totoro625 感谢耐心回复,我感觉我的 BDUSS 可能没有泄露。

    网盘里面东西其实也不是特别敏感,我也另有备份,只是没想到会轻易失去账号权限然后暴露给被人。

    我想吐槽是我本人没进行任何确认的操作,手机号竟然直接被修改了,太让人无语了。
    loginv2
        7
    loginv2  
       2020-03-12 08:55:19 +08:00
    看看还有人说隐私泄漏不重要么?
    leonme
        8
    leonme  
       2020-03-12 09:03:20 +08:00 via iPhone
    @totoro625 第一句就是错的😓
    itstudying
        9
    itstudying  
       2020-03-12 09:14:30 +08:00
    自建 nas 不是很方便,云服务之类的又不太安全。烦
    liuxey
        10
    liuxey  
       2020-03-12 09:20:59 +08:00
    @leonme #8 我看了下我的账号,过期日期是 2028 年,这和永不过期没啥区别了
    IITII
        11
    IITII  
       2020-03-12 09:25:40 +08:00 via Android
    推荐使用 sync thing,开源的文件同步解决方案,类似于国内的网盘,不过啥都是存在你自己手里
    用法的话,有教程,也可以直接开两个虚拟机练练手就清楚了
    https://syncthing.net/
    shansing
        12
    shansing  
       2020-03-12 11:10:47 +08:00
    “申诉”这种机制好像若干年前就被诟病,当年以 QQ 号为代表。现在个人信息泄露日益严重,细思极恐。
    BAT
        13
    BAT  
       2020-03-12 11:37:06 +08:00 via iPhone
    你 ID 是不是叫“成果”?
    sephinh
        14
    sephinh  
       2020-03-12 12:10:41 +08:00 via Android
    人工太贵,大厂家也没有余粮养客服了,国内国外基本都这样了....
    dremy
        15
    dremy  
       2020-03-12 12:26:04 +08:00 via iPhone
    细思极恐,怕是可以闹上法庭了
    resuly
        16
    resuly  
    OP
       2020-03-12 12:30:17 +08:00
    @sephinh 关键他们是有人工客服的,也能打通,但就是不给你处理问题
    hugodotlau
        17
    hugodotlau  
       2020-03-12 12:32:12 +08:00
    @resuly 如果确认账号是你的,把证据链发给我,我可以帮你申诉;你可以通过邮箱:liuchenghui01 # baidu.com 联系到我。

    另:我不太同意你结论中的一句话『一个正常用户可以被轻易修改账号,让我不禁感叹百度的每况愈下。』,你可以说百度的客诉服务有问题,但请考虑账户问题的客诉是依赖人来解决,每天海量的账户问题处理的难度和效率。如帖子中所描述,你登录了类似 Pandownload 的服务 ,一边泄露账户信息还期望百度能保障账户安全:也请思考在账户问题上你自身的安全是否做的足够。

    再次强调,我们非常尊重用户隐私(假如你愿意用阴谋论揣测,但请不要这样做),也正是如此用户在解决账户问题的上经历都是挺坎坷的,我相信任何国内头部的互联网公司都是这样。

    如账户找回,百度在账户上有更多的安全措施,强密码,人脸和指纹的认证都会降低账户被侵入的风险,也请考虑升级安全信息,更好的保护自己的账户。
    crab
        18
    crab  
       2020-03-12 12:33:11 +08:00
    会不会是百度有员工申诉账号的通道,审核信息少点?
    Dex7er
        19
    Dex7er  
       2020-03-12 14:21:59 +08:00
    李彦宏的名言都忘了,用百度云还考虑隐私。我倒是很好奇,啥账号啊这么香?
    VWWWWWWW
        20
    VWWWWWWW  
       2020-03-13 15:03:13 +08:00
    连你名字都能说出来?我怀疑你自己被人盯上了可能性更大…
    avv
        21
    avv  
       2020-03-13 21:24:54 +08:00   ❤️ 1
    @hugodotlau 如果按照 @totoro625 的说法,在安全性没有提高的前提下,贵司真没脸说这话!
    dai640
        22
    dai640  
       2021-06-09 01:01:35 +08:00
    @hugodotlau #17 看来是百度内部员工。

    我的情况是这样的,云盘刚出的时候注册了好几个,因为当时只需要验证邮箱,常用邮箱不够用,就用临时邮箱接收了验证码注册,验证的手机号直到目前都还在手。

    直到几年前想修改密码,需要申诉,除了那个临时邮箱根本无法找到,其他所有的资料都提供了,包括注册 IP,初始密码,时间日期,当时验证的手机号,就是申诉不回来,因为这几个号都保存了上传的一些自己收藏的资源。

    我这种情况能帮我申诉回来吗?谢谢。这几年陆续申诉了好多次都不成功。
    hugodotlau
        23
    hugodotlau  
       2021-06-30 21:59:13 +08:00
    @dai640 抱歉,有一阵子没来 V2EX 了。按道理说现在的百度账号是优先手机验证啊,有手机登录应该不是问题,请问你遇到的问题是什么?你可以整理相关证据链,通过邮箱:liuchenghui01 # baidu.com 联系到我,希望能帮到你。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1186 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 22:48 · PVG 06:48 · LAX 15:48 · JFK 18:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.