WooYun.org

9月3日下午16:25分左右，QQ意外被黑，发现问题后，我的第一反应就是用密保来修改密码，因为当时着急，没仔细想，结果就发现，密保居然不正确了（返回头想，更改QQ密码，除非手机宝令绑定，或者超级QQ绑定后，才可以直接更改密码，其他更改措施，都需要密码保护来验证，既然密码不正确了，密保肯定也就被重置了，当然无法更改了。）
下图为QQ被盗的原因，就是申诉：
进一步检查发现，出了QQ密码，密保手机、手机宝令、QQ密码保护等措施，全部被人重置了，于是我直接联想到了QQ申诉，当然了，QQ申诉必须具备几个条件，姓名、常用IP、三个人以上的QQ好友辅助验证以及曾用密码，才可以重置QQ密保，我一直以为是QQ申诉出来新的漏洞了，可以直接秒杀（后来一琢磨，发现不是QQ漏洞的问题，因为申诉我的号码，他已经具备了几个条件，我的名字是公开的，这个条件成熟、常用IP可以直接代理，也成熟，常用密码的话，有QQ裤子就好说，直接查询历史密码，这还不够，问题就出在最关键的QQ好友辅助上了，我是栽到这里了。）
先不多说，我先贴几张图，咱看图说话。。。
大家注意下2013-09-03 16:29分的纪录，是申诉审核通过后的，大家也知道，申诉审核时间，是4小时之内，但是通常2小时就会有结果了，估计申诉时间大概是下午2点前后，申诉成功后，直接开始更改我的密码和密保资料，幸运的是我在他重新设置密保资料之前，就提交了一次申诉材料，当然了，我知道的账号信息肯定比他要全，毕竟是我自己的号。

QQ被重置以后，当时只顾着着急QQ本身了，却忘了攻击者的真正意图，当时就想到了乌云账号会不会受牵连，因为我乌云的的密码找回邮箱，就是QQ邮箱，我登陆乌云，发现密码果然被修改了，果不其然，在修改我的密保以后，第一件事，就是进我的QQ邮箱，因为我QQ邮箱设置了独立密码，他又用设置好的密保，重置了我的独立密码，进入了邮箱，大家看下IP地址，是代理的呼和浩特市，跟我的常用IP很接近，但是，还是有区别的。。这就说明，这个家伙在登陆我邮箱的时候，用的依然是代理，也就是被盗QQ的常用IP地址，这是满足申诉的第一个重要条件。

后来找回密码以后，我进入邮箱，发现了这个，原来，攻击者在重置了我QQ邮箱独立密码以后，就直接奔我的乌云账号去了，通过乌云账号密码找回功能，直接修改了我的乌云密码，并且转账走了33乌币，攻击者的真正目的，是乌云的乌币，我的QQ号，只是连带误伤而已，在已删除邮件中找到了这个，看下图：

下面是攻击者进入我乌云账户后进行的转账截图：

出去办了点事情，回来，我的小伙伴们已经有个结果了：
陈再胜小朋友在看到乌云账号被盗的消息后，第一时间成功的射到了这个家伙的乌云密码，但是果不其然，是个小号，也不知道是转几次的小号了，WB直接转给了xcloud这个账号，估计这个账号也是个小号，肯定又转到了另外一个账户上：

（后来根据这个账户的拥有者说，他的账户是被人恶意找回了，用他的号来栽赃陷害的，并不是他所为，这个具体是不是，就没地方考证了，但是如果真是栽赃的话，那这个事情就变的更复杂了）
仔细回想了下，最近加我的人实在太多了，大部分都是加进来，不说话，要么就是无限次的重复一句话，之前没在意，出了这事儿后，我才明白过来，这就是申诉找回的最重要的一个环节，加你，不是为了聊天，而是为了后续的好友辅助申诉，我也不知道具体是哪个人，我还是先贴出来吧。。误伤了莫怪。。

后来有人反映，这些QQ号当中，有一个人加了不少白帽子，而且，多数是有事没事的说话，比较可疑，具体是哪个，我也没证据，大家自己斟酌吧。。
最近加的这些人，行为真心古怪，反复的问我：“在吗？”，我回答后，就没动静了，第二天，还是回重复同样的话，问你在不在。
当然了，这些人，我都是单向好友，也就是我同意他们加我好友，但是我并没有加他们。
后来琢磨了下，这样的话，如果也能被申诉，那么只有一种可能性，腾讯不会验证对方是否在你的好友列表当中，而是把经常聊天的人当做了常用联系人，也就是默认成了好友，就算你好友没加他，对方一样可以进行辅助申诉。
我忽略了一个问题，还可以根据QQ空间信息，加上对方的好友后，说号被盗了如何如何，然后让帮忙配合申诉，这样也可以申诉成功的。对方加你其他朋友的QQ后，先不说话，当你直接收到一封“QQ密保好友辅助”的邮件后，忽然告诉你，说是号被盗了，需要填下申诉回执单，很紧急，你的第一反应是什么？我想，很多人看到邮件提示的是自己朋友的QQ号，基本不会怀疑，肯定是先着急的填写验证信息后，才会想起来问对方，你是不是某某某人？你号怎么会丢呢？当你填写完成后，你问什么，都已经没有意义了。。。。如果我加对方10个好友，广撒网，那配合申诉的命中率是多少呢？我相信，超过三个，是轻轻松松的。。。这样的话，QQ密保被重置的概率就很大了。
为了验证这个可行性，我跟陈再胜继续做了次测试，在单向好友的情况下，是可以邀请对方进行好友辅助的（比如说：攻击者QQ为：4444，我的QQ为：5555,4444用户加我为好友，我只点了同意，也就是说，我并没有加他，而我，却在对方的好友名单里，这样的话，在对我5555这个号进行申诉时，攻击者4444同样可以收到好友辅助验证的邮件，也就是说，攻击者就算不在你的好友列表当中，一样可以有资格进行好友辅助验证，一旦成功验证人数超过3个，那么，QQ被申诉的几率是多大呢？由于曲子龙没有及时响应我的测试，导致申诉失败，我先贴个图，大家先看下：

申诉过的朋友应该都知道，如果申诉材料不够，肯定会邮件提示你，姓名、或者其他资料不全，如果没提示，则说明，你提交的材料已经达到了审核标准，我再贴一张图，大家看看跟上图的区别就知道了。。

在这次申诉中，我只用了3样东西，1.姓名；2.常用IP；3.三个刚加的好友。其实满足这三条，申诉的几率应该是90%的。。由上图内容可以推论，达到上述三个条件后，被重置密保的可行性是非常大的。。我也并没有100%的肯定，但是自己确实是这么中招的。。。
事情到此也就有个结果了，经过这次事情，给大家总结了几个经验。
1.陌生人不要加，哪怕只是单向好友，也不要加。。。如果是自己的朋友要社，那只能认栽，没别的。
2.如果密保被重置，请让朋友投诉你的QQ，暂时冻结你的QQ使用权，可以拖延下时间，以免出更大的问题。
3.尽量不要用QQ邮箱做你的密保邮箱，我乌云账号被沦陷，就是个好例子。
如果对方不加你，只是利用你QQ好友里已存在的用户去对你发起验证，以欺骗的方式，让对方配合验证的话，那你只能自求多福了。。。。
我相信，如果腾讯的验证机制不改，这个帖子估计就会变成一个盗号申诉教程了。。哎。。。
最后补充下：有乌币的朋友们，赶紧换密保邮箱吧。。剑总正在改善安全机制，相信很快就会有个结果了，让这些不法分子，无机可乘。。
关于我损失的乌币的事情，希望剑总别补偿了，首先这个也是个人原因，安全意识不足，导致的问题，其次，如果贸然补偿我了，其他受损失的用户也得跟着补偿，这不合适，这个先例不能开。。。给个1WB就OK了，这个帖子，其实不算是什么漏洞，只是发出来，警醒下大家。
本来想继续深入测试申诉这个功能的，但是测试的时间越长，怕其他用户遭受损失，所以就先发出来了。。在深入的话，就挖到腾讯那了。。。