官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
6月26日晚,腾讯QQ遭遇了大规模盗号事件,该消息瞬间冲上了微博热搜,话题阅读量已经超过2亿。大量的QQ用户在互联网平台发文称,自己以及身边的朋友、家人、同事都遭遇了QQ被盗号的情况。
QQ被盗后,会自动加入各种垃圾群,同时会自动向好友和群里发送垃圾、色情、赌博信息和链接,其中就包括一些比较重要的微信群,包括工作群、家庭好友群,因此有不少用户表示已经“社死”。
从现有的情况来看,此次QQ盗号事件波及范围堪称史上最大,无论是安卓、HarmonyOS、还是iOS 用户,皆无法幸免,且广泛分布在全国各个省市和地区。截止到目前,此次QQ被盗事件的负面影响还局限于自动给好友和群里发送各种负面信息,腾讯尚未就此事进行回应,同样也不清楚账号被盗的具体原因。
值得一提的是,QQ被盗之后,不少用户已经在尝试找回,但是依旧有不少用户通过申诉找回账号无果。还有用户吐槽自己QQ号没有被盗,只因为在上述发送色情、赌博的群里,QQ账号因触发了腾讯安全中心的规则而被封禁,有的甚至暂时无法解封,对工作和生活造成了一定的影响。
6月27日,腾讯回应称,6月26日晚上10点左右,已收到部分用户反馈QQ号码被盗,QQ安全团队高度重视并立即展开调查,发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。
确认原因后,腾讯称其第一时间组织安全技术力量,目前受影响范围已得到控制,受此事件影响的用户帐号也于今日凌晨陆续恢复正常使用。
对于本次大范围盗号事件,腾讯方面表示,对于给用户带来的不便深表歉意,目前正在收集整理黑产团伙的犯罪证据,后续将根据需要配合有关部门开展工作,保护平台及用户的正当权益。
几句闲话
但是有的网友对于该回应并不买账。在某热搜平台上,很多网友称“没有扫描任何不明二维码,也没有登录奇怪的网站,甚至很久没有使用QQ”,但是他们依旧被盗号了。这似乎和腾讯回应的情况不相符合。
而在腾讯正式回应之前,已经有网友事件的蛛丝马迹给出了两大猜想(和本文作者无关),也欢迎读者进行指正、分享。
猜想一:攻击者发起撞库攻击,并通过0Day漏洞传播
有消息称,此次QQ被盗事件和此前发生的雅虎邮箱泄露,学习通数据泄露事件有关联,攻击者利用雅虎邮箱,学习通庞大的数据库对QQ发起了撞库攻击,暴力破解了QQ账号,并进一步获取了大量的个人信息。这也是为什么在此次事件中,最先被盗号的大多都是学生,而后再逐渐扩散开来。
同时,攻击者还利用最近QQ被曝出的0Day漏洞制作了一个可以直接盗取QQ号的链接,并伪装成聊天记录,通过已经被盗的QQ号发送给他人。只要用户点击该链接就会被盗号,并且被盗的号又会将该恶意链接发送给他人,由此产生了链式传播,短时间内就波及了无数的用户。
但是,这里有一个问题,被黑客利用的0Day漏洞究竟有多厉害,才能在智能手机没有出现什么问题,QQ密码、密保都正常的情况下,让攻击者可以悄无声息的盗号,甚至于用户本身都没有任何察觉。而这样核弹级的0Day漏洞在暴露后,腾讯没有第一时间修复和发出警告,似乎也很难说得通。
猜想二:腾讯协议被偷,随即生成key
和第一种猜想相比,第二种猜想更加难以验证。有网友在聊天平台上贴出了一张图,如下所示。其中提及此次QQ大规模被盗是因为腾讯协议被偷,随即生成了key,那么攻击者无需知道用户密码,就可以随意发布各种色情、赌博相关信息,也可以解释,为何攻击者可以在如此短的时间内破解数量庞大的QQ账号。
同时,这些消息是不法分子通过腾讯服务器发出,如果key撞上了QQ号,那么显示的就是用户QQ账号发出的消息。
值得注意的是,在一个多月之前,也有大量网友反映自己的QQ账号被盗,向好友及QQ群发送低俗链接。不少网友在社交平台上呼吁:QQ频频出现大规模账号被盗事件,腾讯应该给予一个合理的解释。