QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗!

最近我的一个群里有网友提到此事:

手机QQ点击头像 -> 我的文件 -> 最近文件,如果发现有“工作邀请函”的,请立即修改密码,因为你的QQ号已经被盗。如下图:

QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗! 科技圈 第1张

我赶紧也看了一下自己的QQ号,发现还真有。如上图所示,在我不知情的情况下,该文档分别在本月和上个月(8月),被发送给多个陌生好友。我搜了一下这些QQ号,都不是我的QQ好友。

这就很奇怪,随后我就修改了密码,就没再在意,今天我又看了一下,发现一个 Excel 文档又被莫名其妙的被分享。如下图:

QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗! 科技圈 第2张

该文档,可以在QQ群 -> 群文档 -> 群在线文档 中看到。就是非常奇怪,我们从来没有操作过这些文档,为什么会一次又一次的出现呢?

我有以下猜测:

1、QQ存在安全漏洞,QQ账号已被盗,或者被非法利用。

2、QQ与腾讯文档存在兼容问题,数据显示混乱。

3、腾讯文档存在bug,可以任意分享文档给任意QQ。

4、腾讯文档bug,别人分享的文档会错乱的显示在自己的账号里面。

如果是腾讯文档的bug,那自然比QQ号被盗,被非法利用好了,也希望腾讯方面重视此问题,尽快解决,并给我们一个合理的答复。

据网友描述,如果有收到此类文件的千万不要打开,打开过的请尽快修改密码。

QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗! 科技圈 第3张

打开后是这样的:

QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗! 科技圈 第4张

我的理解是pian子,利用QQ或者腾讯文档的漏洞,用你的QQ号给人发送带有诈pian内容的文档。

或者是你的QQ号已经被盗密码被泄露,别人登录你的QQ号,发送垃圾信息。

下面是我从 Console 控制台拿到的该文档信息,包括创建人,修改人,分享信息等,非常详细。

QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗! 科技圈 第5张

还有一种的,如下图所示:

QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗! 科技圈 第6张

这东西也千万不要点,这个东西叫 qqxml,本来没啥,但是可以配合一些东西被非法利用,抓包之后可以看到你的个人信息,ip 地址,可以利用最新的 XXs 攻击和 js 插件把你的信息给窃取了。

下面是 XML 代码示例:(请不要作非法用途)

{
  "app": "com.tencent.autoreply",
  "desc": "",
  "view": "autoreply",
  "ver": "0.0.0.1",
  "prompt": "新人入群",
  "appID": "",
  "sourceName": "",
  "actionData": "",
  "actionData_A": "",
  "sourceUrl": "",
  "meta": {
    "metadata": {
      "title": "大家好,我是新来的小学生。",
      "buttons": [
        {
          "slot": 1,
          "action_data": "我是傻逼",
          "name": "     移出本群          永久禁言",
          "action": "notify"
        }
      ],
      "type": "guest",
      "token": "LAcV49xqyE57S17B8ZT6FU7odBveNMYJzux288tBD3c="
    }
  },
  "config": {
    "forward": 1,
    "showSender": 1
  },
  "text": "",
  "sourceAd": "",
  "extra": ""
}

甚至有人点击后钱都被莫名的转走了,虽然这个不确定是不是真的,但是信息泄露还是真实存在的。

首先,我是非常乐意与腾讯方面一起解决这个问题的,但是我在 TIM 官方群里面反馈,至今没有得到任何形式的任何反馈。

所以我决定把这个问题公布出来,希望能让更多的人看到,不要随便点开陌生以及不陌生的好友发的文件,以防QQ被盗。



未经允许不得转载:w3h5 » QQ腾讯文档疑似重大漏洞:收到“工作邀请函”的注意了,你的QQ可能已被盗!

赞 (0)
分享到: +

评论 沙发

换个身份

  • 昵称 (必填)
  • 邮箱 (选填)