我的一个微软账号,在今日凌晨 3:00 ,被恶意登陆且在没有触发 2FA (也就是接收验证码)的情况下被陌生设备成功登陆。
我早上收到 QQ 邮箱的邮件才发现,于是立刻修改了密码。
我的疑惑: 1.为什么陌上设备(陌生 IP )可以在没有触发 2FA 的情况下直接登录我的账户。
我的担忧: 由于我的手机上装有 Outlook 和 Edge 浏览器,我担心隐私泄漏问题。主要的担心如下:
首先,楼主习惯将一些重要的资料写在 iPhone 自带的备忘录 App 中。在账户被盗前,楼主刚更换了新手机,需要将旧手机中的一些 App 迁移到新的手机,于是为了防止将来楼主忘记账号和密码,就把这些信息写在了 iPhone 自带的备忘录中。
因为楼主记得,之前楼主在 iPhone 上设置的提醒事项、日程都会自动同步到楼主的 Windows 笔记本上。楼主担心楼主的备忘录也会自动同步到楼主的微软账号中,从而在此次的事件中被恶意获取。
因为楼主不太懂微软系的服务,例如 outlook 、Edge 浏览器都会同步哪些内容,会不会同步楼主 iPhone 的备忘录。还望各位解答。
1
yegar OP 顶一下,希望有好心人能帮忙解答一下
|
2
Configuration 37 天前
今夜收到了 3 封“一次性代码”邮件通知。。。 微软这验证逻辑真的很有问题
|
3
ryansvn 37 天前
@Configuration 我也觉得微软的这个验证系统是有重大风险的,其实只要是密码+TOTP 是非常安全的,没有必要搞这些花里胡哨的,好像是为了安全,其实增加安全风险
|
4
yegar OP 我收到了异常登录的邮件,但是没有拦截登录。我现在就是担心微软会通过我 iPhone 的 Outlook 和 Egde App ,同步我的备忘录内容。因为我临近毕业,为了方便填写学校的各种表格,把一些敏感的个人信息写在里面了。
还有就是我最近换手机,为了防止我忘记 App 登录账户和密码,也一并记录在备忘录里面了,所以真的汗流浃背了。 @Configuration |
5
yegar OP 希望有了解微软系软件的大佬可以科普一下,默认情况下 Outlook 、Edge 会同步我手机的哪些内容。我想知道我手机的备忘录信息会不会被同步。
|
6
gbadge 37 天前
下次注意就好了,如果真泄露了,数据已经在万维网上起飞了
|
7
Tiller 37 天前
我也有个疑问。我手机上的 ms authenticator 经常提醒触发微软账号的 2FA 。但是我很确定不是我自己登录的。这种情况下是已经泄漏账号密码了吗。我从哪里可以查得到这个登录日志?
|
8
youthfire 37 天前
昨天和今天都收到了“一次性代码”邮件通知
|
9
agood 37 天前 via iPhone
不用国内邮箱就可以避免 99%的安全问题,就好比用着微信还谈什么隐私
|
10
Tiller 37 天前
|
11
hedwi 37 天前
微软这个设计有问题 别名可以直接登录的 要把别名删掉
|
14
yegar OP 希望有大佬可以科普一下,默认情况下 Outlook 、Edge 会同步我手机的哪些内容。
我想知道我 iPhone 的备忘录信息会不会被同步。 我现在特别内耗这个事情。 如果有大佬,知道的请务必解答一下,多谢了。 |
17
willtse 36 天前
今天凌晨也收到了 5 封“一次性代码”邮件通知。。。
|
20
lxyv 36 天前
大概率是盗你微软积分换购物卡的
|
21
Martens 36 天前
我也是连续几天收到了微软的登录验证码,今天早上刷抖音好多人说也收到了,估计是有人撞开库,建议立刻修改密码
|
22
yegar OP 目前确认可能有泄漏风险的内容:
Onedrive 相片( 2021 年同步的) |
23
E263AFF275EE4117 36 天前
我看了下,我的另一个账户里面也是收到了一次性验证码。 我的解决方式如下:
1. 首先注销其他所有设备登录; 2. 删除密码+开启双重验证; 3. 添加账户邮箱别名,在设置该别名为主要登录账户; 观察一段时间才知道效果了。 |
24
hokori 36 天前
有 我的 edge 密码本全部都挂了,当时 steam 账号还有一些网站的账号全部一起被改密码了. 不过还好及时找回然后加 2fa
|
25
yegar OP 我想知道的是,我的 iPhon 手机自带的备忘录是否会被同步到 Onedrive/微软账户?
|
27
idragonet 36 天前
@Configuration #2 我今夜收到了 1 封“一次性代码”邮件通知
|
28
yuhaofe 36 天前
@hokori 终于见到病友了,你有装过什么可疑的插件或者软件吗,我到现在也不知道是哪个恶意程序搞的,唯一能确认有病毒的是一个从第三方下载的 Threejs devtool 浏览器扩展,但是恶意代码是远程请求的,等发现时已经删了看不到了,不知道是不是它搞的。
几百个账号和随机密码应该是全在公开库里了,整天有人登,还得一个个加 2fa ,Twitter 还被发广告永封了😂 |
30
tamshy 36 天前
我之前也是被疯狂扫号,一堆尝试登录失败的邮件
|
31
icyalala 36 天前
我也收到了,看来这几天是有人在大规模撞库之类的。。
|
32
hazy 36 天前 via iPhone
别用微软的验证器,定期修改密码+第三方 TOTP 够了。
|
33
est 36 天前
我跟你们说个事。我有个 outlook 邮箱可以收到其它人邮件。不知道怎么搞的。这个人有 fb tiktok 等等注册激活邮件都能看到。
|
34
testver 36 天前 1
我觉得你这个事浏览器某个插件干的事了。
我 chrome 浏览器的插件只用 bit warden 和 google 的官方翻译这两个插件,其他都不用。 另外,我停用了微软的 ms authenticator ,用 2FAS Auth 来做二次验证,能用 icloud 自动备份和同步。 |
35
evan9527 36 天前
邮箱申请别名,设置不可登陆,用来注册各种服务。
主名不在网上泄流,只用来登陆微软服务。 我都是这样的。 |
36
Nasei 36 天前
iphone 自带备忘录不会被同步
|