淘宝帐号被盗,阿里旺旺向陌生人发送消息,阿里是否存在安全隐患?

理由
举报 取消

刚刚在知乎上看到了关于支付宝实名验证的漏洞问题,想起今天才发生了一起阿里旺旺被盗发送信息的事情。是这样的,10月7日我发现阿里旺旺提示我有人在四川登录我的旺旺,我的坐标是广州,一开始以为是ip地址的地理位置错误。然而今天中午发现阿里旺旺向好几个陌生人发送了一条链接,这里就不上了,里面是一个http://mm.taobao.com的地址,内容是招网络销售云云。查了一下登录记录,从7号到10号,有两个不明地理位置的ip地址登录了旺旺,没有任何动作。今天中午11:56分有一个辽宁省的IP使用IPAD登录,然后向几个陌生人发送了网址,11:58分停止。我马上修改了淘宝的登录密码,并全面排查了所有登录到淘宝的设备,目前为止,除了公司的电脑还没看,其他设备均没有异常的进程出现。然后想到国庆7天出行是否在陌生的wifi上遭遇了中间人攻击,不过在电脑上登录的话,都没有看到浏览器有关于证书的警告。如果是app的话,应该会有检测证书的机制吧?这个不太清楚,只能猜测目前阿里的金融属性这么强,不会犯这么低级的错误吧?阿里的相关安全防护我是全部开启的,到目前为止,我并没有收到阿里任何警告。而且今晚在某论坛上发的帖子也有坛友表示遇到过类似的事情,就是发送的内容不一样而已。按道理,异地登陆不是应该会有短信验证的吗?难道ipad的旺旺不需要?想想还是挺可怕的,身为一个程序猿,已经很多年没有发生过帐号被盗的事情了,这件事让我很是摸不着头脑。不知道是自己的问题,还是阿里确实存在一定的安全隐患。

2017年7月25日 10 条回复 1613 次浏览

发起人:陈辉 初入职场

创业者

回复 ( 10 )

  1. 熊健羲
    理由
    举报 取消

    身为一个淘宝卖家,我的旺旺以前也被这样盗过。 显示异地登录,一看聊天记录,发了很多诈骗广告出去,我立马修改了密码,还设置了异地登陆验证,安装了阿里钱盾,一个个给收到信息的人道歉。 现在想起来,还真有点害怕,自己平时安全意识还挺强的,不知道是个什么漏洞。

  2. 梦林夕
    理由
    举报 取消

    任何账号都有被盗的可能,如果阿里在这方面能做到万无一失,那他牛逼大发了!

  3. 焦糖补丁
    理由
    举报 取消

    2016年1月10日,淘宝显示有广西地域的异常登录,提示修改密码。修改完毕,粗看了一眼,资金好像没有被动。

    登上旺旺,发觉我的旺向几乎所有联系过的店家发过广告。

    加了对方QQ,之后,获得信息如下:

    有明确的公司,我不知道接下去该如何报警,或者,报警有没有用。所以,征求一点建议。 @vczh@吕葡萄 求轮子哥葡萄姐帮忙扩散一下,感激!!

    ————————————-我是更新线——————————————

    一直偷懒没来更新。。。

    写完这个帖子不久,已有淘宝小二联系到我,询问了情况。基本看来,应该是QQ或者其他网站之类账号密码数据外泄,然后偷盗者(应该能这样喊吧?)试登入的时候,成功了。我的情况是只使用我的旺旺发送推广,尚未对我的账号其他进行更改或者盗窃。在小二的建议下,修改了淘宝的相关密码,目前暂时没有类似事件再次发生。因不知道小二是否愿意暴露,在这里就不提他的ID了,但还是感谢一下小二的帮忙!!

  4. 匿名用户
    理由
    举报 取消

    题主你好,作为深度账户安全迷,解释你这个情况并给予一些建议:

    众所周知,互联网信息带来两个问题:账户越来越多 & 信息隐私越来越少,之前为某网站提供账户安全解决方案时,对账密泄露做了研究,熟悉账户安全的朋友都知道一个概念:社工库,大量不法分子通过各种渠道获取人们信息用以贩卖、操纵和利用,以获取利益,他们间形成了产业链式的利益关系。

    对于账户而言,密码是最基础也是最重要的验证方式,密码泄露可能无法演化为账户被盗走,但势必转变为账户被盗用,而淘宝账户的两个主要功能就被利益集团所觊觎——购物和社交;

    言回正题,题主所遇到的就是最为典型的密码泄露问题,原因最大可能是题主其他网站账户密码被扒取(一般邮箱居多,免费邮箱都太贵了),或是其他散落在外的常用密码组合被盗走,被人刷入了旺旺登录,引发此事。

    ———————我是分割线———————

    Q.什么情况?

    A.密码泄露,盗号者有且仅有你的现密码,发送垃圾消息是淘宝账户被盗用的最“low”表征,但凡他有更多信息,都会尝试去修改账户信息以控制账户;

    Q.如何解决呢?

    A.修改密码,并且切忌修改回去,因为账户可能会经多人之手,一旦修改回去还会被其他人再次刷入,他手上的密码失效了就完全没问题;

    Q.会对信用、财产产生影响吗?

    A.不会,淘宝网对账户资产等防控可谓“丧心病狂”,鲜有账户被盗还产生财产损失的,即便产生,各种各样的保险和理赔绝对是靠谱高效的;

    Q.他们图啥?

    A.利用账户,之前参与淘宝账户安全分享得知,批量注册已经搞不来足够的淘宝账户了,他们的账户在一点点消耗,只有冒险付出更大代价去利用别人的账户来完成自己“广告公司”的业务;

    Q.如何防范?

    A.首先,将支付宝账户、淘宝账户密码均做更新,使用全新密码,同时建议题主将自己常用的网站账户、邮箱密码也做修改,特别关注一些邮箱的密码安全!

    Q.何处可以紧急处理?

    A.在此安利一个并不大众的网站:,该网站提供账户检测、下线账户(全世界登着你淘宝账户的地方都会被踢下线)和账户锁定(急茬儿可以先冻结住账户),功能都挺好用的。如果在淘宝被骗了这里还可以报案反馈。

    ——————又是分割线——————

    一个设置密码的小技巧:

    账户越来越多,很多人都习惯多套账户公用一个密码,其实这是挺不安全的事儿,我本人的密码是这么设置的,也分享给大家:

    在微博的密码,是sinaweibo+常用密码;

    在知乎的密码,是zhihu+常用密码;

    在腾讯的密码,是tengxun+常用密码;

    其实只要你的密码有一点不一样,他们获得你一对账密,就不会演化为弹射攻击。

    再附,在研究中发现,密码泄露还会导致账户出现别人的订单。同样的,这些订单都是代付或者别的银行卡里转过来的钱,有一种利益叫炒信,淘宝干掉了一波又一波炒信账户,他们也没账户用啦!这种情况也是密码泄露,参考上面的内容就OK啦!

    大阿里近年来也把账户安全和体验放在首位,认识不少阿里搞安全和搞服务的朋友,都很靠谱的,这么大的公司也是有同等量级的安全和服务的。

    手机码字,希望能帮到大家

  5. 千夜
    理由
    举报 取消

    我也遭遇过!!淘宝账号被盗后,对方用我的阿里旺旺向卖家们推送信息,就是刷单业务那种。这点还不算可怕,最可怕的是现在可以用淘宝账号登录我的支付宝账号,然后就算没钱在余额宝,也有花呗可以透支!

    完全可以进去我支付宝后,修改手机设置,然后用花呗购买虚拟商品,不用发货直接确认就是,钱就这样被偷了。

    马云公司,为了让剁手党来不及思考就付钱,不记得支付宝密码都可以登录,账上没钱都可以找花呗借,不要任何担保!

    太可怕了!

  6. 涛涛
    理由
    举报 取消

    我今天遇到过,感觉很可怕!

  7. 王珺珺
    理由
    举报 取消

    你好,我已经将你的问题反馈至相关业务同学,希望能帮到你

  8. 黄昊
    理由
    举报 取消

    我也遇到过,我的一个很老的淘宝号之前没有实名认证和手机绑定,好长时间没用。突然有一天认证邮箱发邮件说账户因刷单被限制交易。然后就登陆淘宝去看一看,一看不得了淘宝密码被改,认证手机也被恶意绑定。申请修改密码结果只有手机认证和人工申诉条路,选人工申诉结果因为信息不符被驳回(估计好长时间没用被盗号人改了不少信息)。淘宝这条路基本就断了。

    正面不行就迂回,因为我的淘宝账号和支付宝账号是绑定的。于是改从支付宝这条路走,支付宝账户密码也被改了。但是支付宝账户却可以通过认证邮箱改密码,于是改密码之后进去一看发现,身份填了,手机也被绑定,支付密码也被改。还好支付密码可以通过认证邮箱修改,然后用认证邮箱和支付密码一起解绑了手机,不过之后出现了一个bug说原来手机无法解绑,我就把我现在的手机绑定上去了。到现在为止支付宝除了填了盗号人身份信息(没认证)之外所有的信息都被我修改回来了。

    然后估计是支付宝登陆的问题,再次打开淘宝账户时已经自动登陆我被盗的淘宝账户,结果就看见一堆刷单,和陌生的收货地址(以此信息进行下去,或许我能挖掘到更多信息,不过我对此没兴趣,只想拿到账号控制权而已),赶紧解绑手机,还是只能通过手机和人工方式,而且提示的手机还是盗号的手机,但是我点进手机认证方式才看见,认证手机号变成了两个,一个我的一个盗号的,于是盗号的手机号被解绑了。到此我拿回了淘宝+支付宝所有的认证信息(除支付宝被填的身份证之外)。

    教训1:认证手机号码是重中之重,它相当于认证邮箱+密保问题

    教训2:支付宝身份认证要认证,免得被别人绑了

    教训3:阿里巴巴的账号体系有缺陷,可能从正面只能从这一条途径改信息,而从其他关联账号可能有其他方法。

  9. 匿名用户
    理由
    举报 取消

    12月29号 发现账户群发信息 说是兼职加QQ, 30号又有两次异常登陆 地址 广东江门 ipad 新会区 。中午阿里110提交投诉单,晚上账号被锁定 ……投诉之后再锁定还有啥用啊。 主要是也没有使用可疑软件之类的东西 不知道账户是怎么被盗的。

  10. 用户头像
    理由
    举报 取消

    我也是在8号的时候出了问题的,打电话给客服给出的结果是让更改密码再观察24小时,本以为24小时后没被登录就没事了,结果11号又被人在廊坊登录了,然后就是12号上午在廊坊下午就跑湖南益阳了,实在受不了了又给客服打电话,结果得到的结果依然是改密码,杀毒,就在我跟客服人员交涉了将近一小时后刚挂电话,那个湖南益阳的又用移动端上去了,而且我这PC端的旺旺还没下线

    疯了

我来回答

Captcha 点击图片更换验证码