事情要从2025年11月的一个晚上说起,我一个备用apple id对应的email邮箱突然收到一封更新信息(information updated)的邮件,那天晚上,我刚好有查看到这个email,打开一看,发现是提示更改了账单信息(billing information),我当时没有进行任何帐号操作,所以能意识到这个动作不是我自己的操作,但是也没有想到帐号的安全性问题,因为这个apple id虽然没有开启过双因素验证(2FA,Two-factor authentication),但是有3个密保问题和救援邮箱的,我当时可能是觉得帐号有密保应该安全的,于是没有进行任何操作。
回头来看,那个时间点apple id已经被盗了,只是还没彻底失去控制权。
当2026年的1月,我发这篇笔记前夜,这时我才发现帐号登录时,提示我需要填写6位2FA的验证码,而验证码在一个我不认识尾号的手机号上,我才知道这个帐号被盗了。
首先,这是一个注册了十几年的老号,使用频率极低,正是因为极低的使用频率,才让我锁定了帐号的泄漏途径。从我梳理的email信息来看,这十几年间,这个apple id只收到过两次登录设备的提示信息,一次是2013年,一次是2024年,这两次都是我自己的iPhone设备,也就是说,直到2025年的某个时候,我的apple id才因为信息泄漏被盗。
2025年我一共收到三封email,11月的第一封就是文章开头提到的账单信息更新提示,第二封发生在第一封2天后,是密码修改请求,第三封发生在12月,提示此apple id正在开启2FA,由于我错过了第二封和第三封email,导致没有及时发觉帐号异常,第二封和第三封里的挽回链接早已过期失效,帐号被盗号者成功绑定了他的手机号。
那么问题出在哪里呢,这个apple id并不是什么安全措施都没有,明明是设置过三个安全问题和救援邮箱,但安全问题并没有起到阻挡的作用,而救援邮箱里也没有搜到任何苹果发来的相关信息,帐号密码是在什么时间点,通过什么途径被泄漏的呢?
第二天我和苹果客服打了两轮400电话,回忆梳理各种信息和被盗时间线后,我终于搞明白帐号是如何被盗的了。
2025年3月,我为了下载一个已经绝版的老游戏(Spy mouse)到旧iPhone设备上,发现旧iPhone已经无法用现在的apple id登录iCloud和app store了,这是苹果公司的限制,于是我想到用爱思助手的ipa导入功能,看看能不能把下载到的ipa文件直接导入旧iPhone运行。这个导入操作需要提供一个apple id,以便爱思助手利用这个apple id来完成导入操作,我能记得这个细节,是因为当时我的直觉就是这个操作有风险,于是权衡后,没有填入主力帐号,而是用了这个被盗的备用帐号,结果导入实际上仍然失败了,最后是通过安卓设备解决的。此后,这个备用帐号就像十年来一贯的状态,我就没有在任何其他场合用过了。
而我在小红书上搜索相关apple id被盗信息时,发现有人提到自己因为忘记安全问题,导致长期不用的帐号如果要开启查找时,需要先验证安全问题才能开启2FA(也就是绑定手机号),但是笔记中很多人都讨论了绕过安全问题的方法。这就解释了为什么我觉得我最多只被泄漏了帐号密码,而苹果客服觉得安全问题也一起被泄漏才会被开启2FA的原因,因为实际上安全问题对于能登录的帐号是有办法绕过的。
从时间线来分析,2025年3月,爱思助手收集了被盗帐号和密码后,不管爱思是主动还是被动泄漏了这些数据,8个月后,这些帐号密码被盗号者筛选了出来,那些提前幸运开启了2FA的apple id不会被盗号,而那些仅设置了安全问题的apple id就会像我一样,通过绕过苹果的安全问题的流程漏洞被盗号。
我曾经一度怀疑自己是不是忘了绑了别的手机号,或者把登录了帐号的设备送给过亲戚朋友,但2FA登录过程中提示的手机尾号并不是我和相关亲戚朋友任何一个人的号码,苹果客服也明确绑定的是一个海外手机号。我想除非盗号者主动关闭2FA,否则我是不可能拿回这个apple id了,唯一庆幸的就是这个号基本上除了下载了几个app外,没有任何和支付相关的损失。
爱思助手当然不会承认自己卖数据,但是整个时间的时间线,让我觉得和信用卡被海外盗刷非常类似,有过被盗刷信用卡经验的朋友都知道,盗刷不是发生在你信用卡信息被盗的第二天,而是在你离开当地一段时间后,比如十几天、几十天后才会发生,原因应该是如果信用卡盗窃者如果马上盗刷的话,你会很容易排查最近是在哪家店铺刷卡消费,进而锁定信用卡信息被盗的店铺,那么勾结的店铺或者店员被抓的风险就很大。由于我这个被盗的apple id的使用频率极低,使得我很容易通过下载Spy mouse ipa文件的时间戳锁定真正的案发时间。
苹果公司客服记录了我反应的这个流程漏洞,但应该还需要验证,我也没有去重现这个绕过的技巧,了解这个问题的小伙伴看看我的分析对不对,希望能帮助到那些主力帐号被盗、被勒索的朋友们。
补充1:如果是因为密码强度不够导致被掌握了帐号密码,那么首先,帐号要先被泄漏,而这个apple id几乎没有被使用过,过去十多年一直都没有问题,除了爱思外,没有其他高风险的泄漏渠道,被暴力破解的可能性并不大,考虑到还有3个安全问题,不知道是否能在密码泄漏起到保护作用。
补充2:附上绕过安全问题的小红书笔记——“忘了安全提示问题,但成功双重认证 ”
没被盗过
不知道啊。
第三方登录的都有被盗风险
手贱点链接
蹲一个
密码长度和复杂性如何
目前没有被盗
这种第三方登录被盗的概率是最大的,下次小心点吧
几年前吧,我也是爱思当时跟你情况一样,电脑上要恢复app就登录了,然后就出现了跟你一样的情况,有人在尝试登陆我账户,我立马改了密码,到现在都没问题,后面发现用这个备份本地数据可以,但是绝对不要登陆自己的账户,软件对照在本机重新下载就好了