作者paul40807 (银是导体 铂是论文)
看板MobileComm
标题Re: [问题] spotify被盗?
时间Wed Oct 23 02:21:48 2024
呃我也遇到了...
我Spotify帐号刚被盗
https://i.imgur.com/Q5D0593.png
幸好我读硕班後养成收email的习惯,才会短短几小时就发现(X
备注:日文是因为我是日帐。
密码都改好之後就把这个巴西人的歌单删掉了,还好我自己的歌单还没被改,
不过改了也没差,我还有Amazon Music歌单可以捞回来就是XD
大家有在使用的注意一下!
另外我猜测应该是被帐号填充攻击(藉由其他帐号密码攻击),因为Spotify用的这组帐密
是很久以前的,已经被泄漏了,只是我懒得改,真的要改太多网站根本改不完。
我自己密码分4种level
第一种是金融帐号的-这组密码是背逻辑,所以每家银行都不一样,除非被猜到逻辑
第二种是密码簿的-我主要是用微软做密码管理,所以微软帐号是特别的密码+2FA
第三种是重要帐号-Meta Google AppleID,以及有绑到支付系统可以直接刷我信用卡的
(例如711 全家会员)。这组密码是简单逻辑,基本上看到密码就知道其他家的长怎样。
但还是可以避免那种用程式自动跑的填充攻击。另外能开2FA就开。
第四种是一般帐号-Spotify就属於这种,虽然有好几组,但那是为了应付各家不同的
密码设定规范(例如要有特殊符号、大小写、不能有特殊符号),所以一家被盗万家香。
不过一天到晚被盗的网站,例如露天、博克莱、Paypal,我这种会给它独立的简单密码,
要盗就盗吧...
所以我目前是不紧张,因为没有三种以上的密码有泄漏纪录,通通都是第四种的,害我
大概也是两三年要想一组新的= =
最後有几个问题想问有被盗过的板友,请问後续有其他帐号被盗吗,我虽然怀疑是密码
外泄,但还是要防止其他可能,不知道Spotify被盗之後是否还有其他网站跟着中标?
最後建议能开2FA的服务就开吧,要人每个网站都用不同的帐密根本是一种不食人间烟火
的资安建议,很有用但谁记得住,所以我个人是采用分级密码的措施,欢迎大家讨论
其他建议!
※ 引述《k300plus (额头爱护会-神级守护术师)》之铭言:
: ※ 引述《Sky77777777 (八年七亚)》之铭言:
: : 平常几乎没什麽在用spotify
: : 结果刚刚看email收到这封信
: : https://i.imgur.com/BiLtAr0.jpg
: : 请问这是被印尼人盗帐号吗?
: : 刚刚一看到这封信我就马上去改密码了
: : 不知道spotify可不可以删除帐号?
: 我今天下午也收到这个spotify被登入的信
: 现在才查到这篇
: 发现推文有人说可能是钓鱼信!??
: 但我後来慌慌张张的用电脑自己开spotify网页登入
: 去帐户设定那里登出所有装置跟改密码
: 那封信就顺便删掉了
: 现在没办法检查发信者了XDDD
: 借文看看有没有人这几天也有收到诡异登入通知信的
: 可以让大家参考一下发信地址
: 我刚刚自己试着用别的装置登入收到的登入通知信的寄件者是
: [email protected]
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.255.92.133 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1729621313.A.316.html
※ 编辑: paul40807 (111.255.92.133 台湾), 10/23/2024 02:26:34
1F:推 c52chungyuny: 读硕班养成收email的习惯我笑了XD 10/23 02:26
太真实
2F:推 ctes940008 : 不能改无密码登入吗?绑其他平台帐号。 10/23 04:15
我是用平台登入没错 但有设定过密码
3F:推 lianpig5566 : 我现在只有Apple、Google、MS帐号是自己想的,其他 10/23 07:37
4F:→ lianpig5566 : 全都给Google密码管理员自动产生 10/23 07:37
这也是好方法 但我太多装置 Android Windows iOS iPadOS 很难通用
5F:推 flyaway1030 : 我觉得是Spotify 问题..我密码基本特殊字元都有 10/23 07:41
6F:推 whitefox : 用符号当密码 10/23 07:53
7F:推 JinJoy : 请绑社群登入 10/23 07:56
有绑G帐号 但之前有设定过密码 不知道能不能关
8F:推 ssshleo : 我之前也有 听歌听到一半被切歌 10/23 08:02
9F:→ ChungLi5566 : spotify的问题 没被盗过别说你用过spotify 10/23 08:48
10F:→ ChungLi5566 : 第一次看到注册帐号(信箱)还能被改掉的 10/23 08:49
怎麽这麽多案例 有点瞎
11F:推 sana113821 : 我昨天也被盗耶 信箱还被改 10/23 09:39
12F:→ sana113821 : 早上联络客服把信箱改回来 密码改掉 装置全登出 10/23 09:39
13F:推 Klauhal : 用密码工具产生和保存,浏览器帐号记忆密码,重点 10/23 09:43
14F:→ Klauhal : 帐号加开多因子验证,密码不重复,被盗只要改一个 10/23 09:43
15F:嘘 Beakidd : 这是在炫耀自己有几种密码Level? 10/23 09:45
这样就叫炫耀 你躁郁症?
16F:推 phoque : 没自架vaultwarden 尚有待进步(反串 10/23 09:50
17F:→ square4 : 只有艺人才有2fa 10/23 12:57
18F:→ hollen9 : 我绑google社群登入的一样也是上周被盗 10/23 12:58
19F:→ hollen9 : 很奇怪他改信箱没有经过gmail收信 也确定gmail 10/23 12:59
20F:→ hollen9 : 没有开pop3或imap 你硬要说就是盗cookie了 10/23 12:59
21F:→ hollen9 : 但如果是这样 也不会只有Spotify中标 10/23 12:59
22F:→ hollen9 : OK 来说说要回流程 客服会和你对帐号ID或信用卡资讯 10/23 13:00
23F:→ hollen9 : 但是那组是我旧免费帐号 加上帐号因为是社群登入 10/23 13:00
24F:→ hollen9 : 所以帐号实际上是乱数ID 10/23 13:00
25F:→ hollen9 : 所以我和客服描述我的情况 给他看过我被改信箱警告 10/23 13:01
26F:→ hollen9 : 信件 (转寄+撷图) 客服就在不用验证任何资讯的 10/23 13:01
27F:→ hollen9 : 情况下 让我取回那个Spotify旧帐号了 10/23 13:01
28F:→ hollen9 : *那组免费帐密被盗是因为用的是已经leak的帐密组合 10/23 13:02
29F:→ hollen9 : 现在我也都用密码管理软体搭配2FA不会共用密码了 10/23 13:02
30F:→ hollen9 : 讲了一大串划一下重点:>> 不要以为绑社群就安全 << 10/23 13:04
31F:→ hollen9 : 看了别篇有人说还要删除以密码登入 也许会有用? 10/23 13:07
我是真的很怕盗cookie 这我真的尴尬
32F:推 PeterNorth : 去年也被盗过 旧密码外泄 忘了改 信箱也被改掉 10/23 13:19
33F:→ PeterNorth : 只有在mail收到不明地方登入 後来就无法登入 10/23 13:21
34F:→ PeterNorth : 後来把不明登入截图给客服 就解决了 10/23 13:22
35F:→ PeterNorth : 主要是spotify没有二阶认证 所以很容易被盗 10/23 13:23
36F:推 iceyeman : 我妹玩拼多多FB被盗 Pixel6Pro所有验证都不给过 删 10/23 13:46
37F:→ iceyeman : 掉拼多多就正常了.... 10/23 13:46
38F:推 stark5566 : 借问大家都用什麽密码管理软体呢 10/23 14:19
39F:推 SHENG2014 : 这种被盗应都被改密码了吧,还能自己登入取回? 10/23 14:41
他没改 改了我会再收一封信
我猜是盗号的拿去卖 买家登入正在试用就被我咖掉
40F:→ hollen9 : 刚刚我家人也被盗用了 但很幸运还没被改信箱或密码 10/23 15:09
41F:→ hollen9 : 所以立刻改密码+登出所有装置 10/23 15:09
42F:→ hollen9 : 密码管理软体推荐 Bitwarden 免费就功能很全 10/23 15:09
43F:→ hollen9 : 不管你是苹果全家餐还是安卓阵营还是 Windows 10/23 15:10
44F:→ hollen9 : 都可以用生物认证或是装置认证 非常便利 10/23 15:10
45F:→ hollen9 : 然後不推 Lastpass (我最早用这) 这家被骇客攻陷过 10/23 15:11
来研究下 不过成千上百个帐号要改也是大工程 到时先从有花钱的服务改好了
46F:→ square4 : 服务器端泄漏帐密,用什麽密码管理软体都没用,最 10/23 16:02
47F:→ square4 : 好就是服务器端不要保存私钥,有必要推行passkeys 10/23 16:02
48F:推 rei196 : 盗帐号者死全家 10/23 17:04
认同
※ 编辑: paul40807 (111.255.92.133 台湾), 10/23/2024 19:19:24
49F:推 b325019 : 我前年全部改成roboform密码管理了,主金钥配合公司 10/23 19:33
50F:→ b325019 : OA周期每半年换一组长密码 10/23 19:33
51F:推 s78513221 : 我是用1Password ,公司用KepassXC 10/23 20:00
52F:→ haveastar : 请问日区订阅要用日本信用卡吗? 10/24 00:09
53F:→ aoi96 : 我是碰到墨西哥帐号,那时候人在睡觉还被他加了一 10/24 08:50
54F:→ aoi96 : 堆嘻哈播放清单….今天凌晨他又在尝试登入,害得我 10/24 08:50
55F:→ aoi96 : 又改了一次密码 10/24 08:50
56F:→ hollen9 : 不用服务端可以自架 但就比较不适合一般人了 10/24 10:14
57F:→ hollen9 : Bitwarden 可以架在你的 NAS 或伺服器或闲置电脑 10/24 10:14
58F:推 zs10030755 : 被盗加一 昨天下班回家路上听歌发现歌单多了几首歌 10/24 17:26
59F:→ zs10030755 : 想着该不会被盗吧......今天收到信件通知改密码 10/24 17:26
60F:→ Minfoa : 用超久从来被盗过XD 10/24 21:28