V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
resuly
V2EX  ›  分享发现

如何在百度账号密保均有效的情况下被盗

  •  1
     
  •   resuly · 2020-03-12 07:23:59 +08:00 · 5567 次点击
    这是一个创建于 1719 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景:

    百度老用户,大概 04 或 05 年就注册了,那时候主要还是贴吧、百度空间。我账号绑定的手机号和邮箱均为可用状态,网盘 VIP 超级会员。由于用户名短,断断续续的有人来问账号卖不卖,我一直觉得无聊没当回事,但这一次竟然直接导致账号被盗,细思极恐。

    故事时间线:

    2020-03-07 周六 QQ 上有人加我,直接说出了我的实名,我没理他。

    https://i.imgur.com/ey9SR06.png https://i.imgur.com/FGTjuDi.png https://i.imgur.com/ttTM5aD.jpg

    2020-03-10 周二 PC 端百度网盘(官方客户端)突然跳出提示,类似“该账户不安全”,让我输入邮箱收到的验证码,我输入后过了一会儿,账户自动退出。再登录已经密码不正确。

    https://i.imgur.com/Z2eehjV.png

    尝试找回密码,提示账户已冻结。

    由于人在国外,国内的 sim 卡一直放在备用机里面接收验证码,平时不用。打开备用机,收到如下两条短信:

    https://i.imgur.com/pJF57Bl.png https://i.imgur.com/RP3mCQT.png

    尝试点击短信中的链接,已然失效。这才明白过来,可能这小人知道了我的个人信息,直接人工申诉把手机号改了。但除了这两条短信,我没收到其他任何通知,包括邮箱、客户端。也就是说,如果没有在 12 小时内没对短信进行操作,绑定手机号直接会被修改,呵呵。

    于是打了很多次百度网盘人工客服才得知唯一的投诉通道:下载百度网盘或者百度客户端,用另一个可用的百度账号,点击我的->设置->账号管理->页面最下面有个意见反馈->选择被盗号,填表单

    https://i.imgur.com/vrIDkYp.jpg https://i.imgur.com/iB1bhHe.jpg

    人工客服竟没有任何权限,只能照本宣科教我用 App。我问有没有其他端的反馈通道比如 PC 或者电话,他们明确表示上面的操作是唯一的方式。这样的机制是想提高移动端日活吗?

    关于这个投诉表单也很气人,这里有 200 字和 3 张图的描述限制。不仅如此,我在手机端艰难填完后竟无法上传,一直“系统繁忙”。尝试四五次无果,再次致电人工客服!客服小妹表示只能稍后再试。我怀疑服务端禁了海 IP 或者触发了敏感慈?后来把同样的表单信息发给国内朋友操作,终于成功,但到现在没有任何进度。我现在备用机随身携带,还是没有等到有人打电话跟我确认。


    可笑的是,1 月 29 日刚刚给网盘冲过会员,到现在还没到期。

    https://i.imgur.com/TJQhXTu.png

    尝试给知乎的 “百度账号中心” 发信息,也石沉大海。

    唯一让我在乎和生气的是百度网盘中的个人信息,从零零散散的照片、简历到毕业设计,我并不想泄露给他人。

    一个正常用户可以被轻易修改账号,让我不禁感叹百度的每况愈下。

    劝君删除个人隐私数据,做好随时账号易主的准备,因为你不知道网络中哪个阴暗的角落正在对你蠢蠢欲动。

    第 1 条附言  ·  2021-07-01 08:47:05 +08:00
    感谢帖子中的 hugodotlau 帮助,问题虽然最终解决,但也可谓一波三折。

    2020-03-12 - 向 hugodotlau 提供的邮箱发送证据
    2020-03-18 - 回信表示已反馈给 Passport 的部门,可以确定为盗号,找回的手续正在走工单系统
    2020-03-25 - 接到来自百度的电话,问了我很多个人信息,最后说需要进一步核实,然后没了音讯
    2020-03-31 - 过了几周依然没有任何回应,我继续发邮件询问如何联系 passport 部门,没有得到回复

    2020-04-07 15:00 - 又过了一周,依然没有任何回应。我对这种拖拖拉拉的办事态度十分失望,于是写信骂了一下他们糟糕的内部管理,没有得到邮件回复
    2020-04-07 16:00 - 在网上搜到了李彦宏的邮箱,不知道对不对,发邮件吐槽这件事,没有得到邮件回复
    2020-04-07 20:30 - 不知道是哪个邮件的作用,当晚接到了来自北京的两个电话,应该是百度的。但我一接听对方就挂断,感觉像是在完成“拨打电话”这个动作,很奇怪

    2020-04-08 09:00 - 收到百度帐号客服团队邮件,表示 1. 需要通过邮箱进一步提供辅助验证信息 2. 昨天他们的专家多次拨打我的号码无人接听(实际上我只接到两个电话,没等我说话对方就挂断)
    2020-04-08 12:00 - 发送邮件提供银行卡账单等证据
    2020-04-08 13:44 - 收到百度帐号客服团队邮件,表示 “经核实您所提供的信息真实有效,可判定账号归属,烦请您提供所需绑定手机 /邮箱,客服人员协助您绑定”
    2020-04-08 18:36 - 完成新的手机邮箱绑定,并将我的账户加入为申诉保护(任何人无法提交申诉),至此账号成功找回
    28 条回复    2023-08-31 14:39:17 +08:00
    jerryrib
        1
    jerryrib  
       2020-03-12 07:28:05 +08:00 via Android
    自建 nas
    luxiaotian007
        2
    luxiaotian007  
       2020-03-12 07:30:54 +08:00 via Android
    细思极恐
    juded
        3
    juded  
       2020-03-12 07:41:09 +08:00 via Android
    账户申诉需要实名不?或者登陆过第三方网盘客户端没?
    resuly
        4
    resuly  
    OP
       2020-03-12 07:52:03 +08:00
    @juded 之前登录过 Pandownload 有会员就没用了。

    来自官方唯一投诉通道的最新回复:


    只是把流程说明了一遍,标准的机器人回复。安装这个流程会提示已冻结,无法申诉,这是一个死循环。
    totoro625
        5
    totoro625  
       2020-03-12 08:38:02 +08:00 via iPhone   ❤️ 9
    百度 BDUSS 永不过期的,改密码也没用
    你在任何一个地方泄漏了 cookie,只能祈祷没被有心人利用
    举个例子,我 14 年在一个百度贴吧云签到平台留下了 bduss,直到今天,我关注的全部贴吧还在自动签到,成为部分 lv13 几乎全部 lv12 的大水逼。
    这五年期间我改过密码改过手机改过密保,屁用没有。
    别人有你 bduss 直接可以登录你百度账户,至于百度云存放的隐私资料,我只能好心安慰楼主别人不在乎你的隐私了
    照片的话,你最好想想没放什么漏骨的照片了

    另外绑定一个不开机的手机号码真是.......

    另外奉劝各位网友,隐私别上云,
    非要上云至少加密或者跨国存储,不会那么容易被偷,因为文化差异外国人开发的东西更加在乎隐私

    作为一个隐私怪,打包加密码是底线,不 gpg 加密一下心理都不踏实、就是 gpg 加密大文件经常会崩溃,也不知道为啥
    resuly
        6
    resuly  
    OP
       2020-03-12 08:47:28 +08:00
    @totoro625 感谢耐心回复,我感觉我的 BDUSS 可能没有泄露。

    网盘里面东西其实也不是特别敏感,我也另有备份,只是没想到会轻易失去账号权限然后暴露给被人。

    我想吐槽是我本人没进行任何确认的操作,手机号竟然直接被修改了,太让人无语了。
    loginv2
        7
    loginv2  
       2020-03-12 08:55:19 +08:00
    看看还有人说隐私泄漏不重要么?
    leonme
        8
    leonme  
       2020-03-12 09:03:20 +08:00 via iPhone
    @totoro625 第一句就是错的😓
    itstudying
        9
    itstudying  
       2020-03-12 09:14:30 +08:00
    自建 nas 不是很方便,云服务之类的又不太安全。烦
    liuxey
        10
    liuxey  
       2020-03-12 09:20:59 +08:00
    @leonme #8 我看了下我的账号,过期日期是 2028 年,这和永不过期没啥区别了
    IITII
        11
    IITII  
       2020-03-12 09:25:40 +08:00 via Android
    推荐使用 sync thing,开源的文件同步解决方案,类似于国内的网盘,不过啥都是存在你自己手里
    用法的话,有教程,也可以直接开两个虚拟机练练手就清楚了
    https://syncthing.net/
    shansing
        12
    shansing  
       2020-03-12 11:10:47 +08:00
    “申诉”这种机制好像若干年前就被诟病,当年以 QQ 号为代表。现在个人信息泄露日益严重,细思极恐。
    BAT
        13
    BAT  
       2020-03-12 11:37:06 +08:00 via iPhone
    你 ID 是不是叫“成果”?
    sephinh
        14
    sephinh  
       2020-03-12 12:10:41 +08:00 via Android
    人工太贵,大厂家也没有余粮养客服了,国内国外基本都这样了....
    dremy
        15
    dremy  
       2020-03-12 12:26:04 +08:00 via iPhone
    细思极恐,怕是可以闹上法庭了
    resuly
        16
    resuly  
    OP
       2020-03-12 12:30:17 +08:00
    @sephinh 关键他们是有人工客服的,也能打通,但就是不给你处理问题
    hugodotlau
        17
    hugodotlau  
       2020-03-12 12:32:12 +08:00
    @resuly 如果确认账号是你的,把证据链发给我,我可以帮你申诉;你可以通过邮箱:liuchenghui01 # baidu.com 联系到我。

    另:我不太同意你结论中的一句话『一个正常用户可以被轻易修改账号,让我不禁感叹百度的每况愈下。』,你可以说百度的客诉服务有问题,但请考虑账户问题的客诉是依赖人来解决,每天海量的账户问题处理的难度和效率。如帖子中所描述,你登录了类似 Pandownload 的服务 ,一边泄露账户信息还期望百度能保障账户安全:也请思考在账户问题上你自身的安全是否做的足够。

    再次强调,我们非常尊重用户隐私(假如你愿意用阴谋论揣测,但请不要这样做),也正是如此用户在解决账户问题的上经历都是挺坎坷的,我相信任何国内头部的互联网公司都是这样。

    如账户找回,百度在账户上有更多的安全措施,强密码,人脸和指纹的认证都会降低账户被侵入的风险,也请考虑升级安全信息,更好的保护自己的账户。
    crab
        18
    crab  
       2020-03-12 12:33:11 +08:00
    会不会是百度有员工申诉账号的通道,审核信息少点?
    Dex7er
        19
    Dex7er  
       2020-03-12 14:21:59 +08:00
    李彦宏的名言都忘了,用百度云还考虑隐私。我倒是很好奇,啥账号啊这么香?
    VWWWWWWW
        20
    VWWWWWWW  
       2020-03-13 15:03:13 +08:00
    连你名字都能说出来?我怀疑你自己被人盯上了可能性更大…
    avv
        21
    avv  
       2020-03-13 21:24:54 +08:00   ❤️ 1
    @hugodotlau 如果按照 @totoro625 的说法,在安全性没有提高的前提下,贵司真没脸说这话!
    dai640
        22
    dai640  
       2021-06-09 01:01:35 +08:00
    @hugodotlau #17 看来是百度内部员工。

    我的情况是这样的,云盘刚出的时候注册了好几个,因为当时只需要验证邮箱,常用邮箱不够用,就用临时邮箱接收了验证码注册,验证的手机号直到目前都还在手。

    直到几年前想修改密码,需要申诉,除了那个临时邮箱根本无法找到,其他所有的资料都提供了,包括注册 IP,初始密码,时间日期,当时验证的手机号,就是申诉不回来,因为这几个号都保存了上传的一些自己收藏的资源。

    我这种情况能帮我申诉回来吗?谢谢。这几年陆续申诉了好多次都不成功。
    hugodotlau
        23
    hugodotlau  
       2021-06-30 21:59:13 +08:00
    @dai640 抱歉,有一阵子没来 V2EX 了。按道理说现在的百度账号是优先手机验证啊,有手机登录应该不是问题,请问你遇到的问题是什么?你可以整理相关证据链,通过邮箱:liuchenghui01 # baidu.com 联系到我,希望能帮到你。
    lengye
        24
    lengye  
       2022-09-09 11:13:43 +08:00
    碰到了和这哥们一样的情况,账号被盗,一直处于冻结状态,连申诉都没机会,申诉过一次,失败告终,一直没一时间处理
    Tina17
        25
    Tina17  
       2023-08-23 18:58:05 +08:00
    @hugodotlau 那我的账号被盗了,你们管不管
    hugodotlau
        26
    hugodotlau  
       2023-08-29 14:09:16 +08:00
    @Tina17 抱歉,回复的不是很及时。请问你遇到了什么困难,现有的流程无法帮你找回账号么?
    Tina17
        27
    Tina17  
       2023-08-29 15:04:02 +08:00
    @hugodotlau 我的百度网盘前阵子收到一个邮件,就是更改了密保邮箱的邮件,虽然我最近登录就不成了,怀疑盗号?申诉了两次全部失败,我填的包括支付宝买网盘会员的信息以及以前的各类信息,都是对的,怎么就申诉失败呢请问?!
    hugodotlau
        28
    hugodotlau  
       2023-08-31 14:39:17 +08:00
    @Tina17 我并不在百度 Passport 团队,账号的审核规则对我们来说也是黑盒,从经验上来说你提供网盘会员的支付信息只是加大找回账号的可能性,但并不是一定能找回。
    如果你能相信我,请把需要找回的账号信息,关联的个人信息,和上述的支付等相关资料通过邮箱:liuchenghui01 # baidu.com 发给我,我竭尽可能帮你通过内部渠道做下咨询。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3228 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:07 · PVG 21:07 · LAX 05:07 · JFK 08:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.