QQ出事了！大量使用者被盜號涉黃

早上剛來，我那個傻白甜男同事一臉尷尬的看著我們說，他的QQ號被盜了。

他的QQ大半夜的到處自動給好友或者群傳送裸露照片，上面還印著網址。

一看微博，大批中槍的。

而且還上不了熱搜。

26號晚十點左右，大量QQ群收到大量使用者傳送黃圖，並且越來越多。有的使用者本來還在譴責傳送黃圖的人。然後突然就開始一起發黃圖。

有的群因為被盜號的太多，宵禁了，一小時後管理員自己也中槍了。

更搞笑的是，如果你去騰訊申訴，他們需要你自己籤個自認違規的協議，還要上傳身份證自認，否則就不解封。總之大量使用者出了這種事，他們就是死活不認錯。

有網友聯想到是否因為學習通，因此到處詢問，被盜號的特徵。但身邊被盜號的表示並非學習通使用者。

很多網友表示，正在跟人聊天，突然後臺蹦出來幾條訊息用自己的口吻跟朋友聊上了，自己無法傳送任何訊息。而且他們大多數都是在凌晨1點人們熟睡以後大批次傳送澀澀的資訊。

也就是說，駭客在不用登入使用者QQ的情況下就可以冒充使用者傳送資訊，而且騰訊連異地登陸都沒有提示。

有的使用者馬上修改密碼，但是修改了密碼以後，又很快被擠下去。於是趕緊裝置驗證全開，更換更加複雜的密碼才恢復使用。

原來的操作是，網址一開始是正常的網址，開啟後需要掃描二維碼才會盜取你的手機隱私，但是現在已經被犯罪分子升級為連結殺，只需要你開啟連結就能中招。

OK ，那麼根據我多年的從業經驗，來分析下這次的事件。

這次傳送的涉黃圖片，檔案是透過快取下載到本地，只包含圖片，並沒有圖片碼。

還有很多網友認為是學習通洩露撞庫，因為QQ的加密是雜湊+鹽（Hash+Salt），兩邊資料不相同雜湊不能完全匹配，加密方式也不同，而且，如此高頻率的神操作，作為安全開發的騰訊來說，技術手段完全應該是能識別到異常，並且進行攔截的。

另外，我的那位技術同事，他的密碼都是軟體隨機生成的，並且他並沒有用同樣的密碼，大小寫字母+符號+數字隨機亂序組成。如此大規模的盜號，撞庫的可能性比較小。

還有同行認為應該是使用了某助手軟體，可能該軟體要求大家掃描 QQ二維碼，在這個過程中使用者的 cookie資訊被洩露，造成對方可以控制使用者QQ進行發圖到群操作。於是想反向查出對方，但開啟圖片上顯示的網站後自己也中招了。

我個人認為，可能是資料庫演算法和資料來源出現了介面型漏洞，或者是有人點開了在圖片裡面的網址，於是被盜取cookie或者session值然後批次發圖片。

cookie和session是用於客戶端與服務端鑑權的資料，用於驗證賬號。QQ客戶端在開啟遊戲連結分享連結等都會取值自動登入，如果這個被惡意網站利用，正好cookie和session含有能控制QQ賬號的key（skey），就可以批次釋出圖片，讓更多的人中招。

但無論如何，騰訊安全這次都被狠狠的打了臉。