我被黑客入侵，丢失了密码，以及它对苹果安全的影响。第1部分

我被黑了。攻击者进入了我的几个账户(Apple Cloud、雅虎、Gmail、Telegram)，发现了私钥、助记符种子，并盗走了价值数千美元的密码。

在这篇文章中，我将试图重现事件的确切时间线，损失，以及对这一事件如何发生的评论。我还会讲几个我还不明白的时刻(大部分在2FA左右)，希望我的读者能帮助我。我还将分享一些小贴士，告诉你今天可以做些什么来保护自己免受发生在我身上的攻击。

这些活动发生在2020年10月4日星期日上午。早上9点到11点，格林尼治标准时间+8。我不在家，离我的两台MacBook很远。他们在家中处于冬眠模式，锁着，盖上了盖子。前一天晚上，我完成了我全新的MacBook Pro(2020)的安装。

我在周五(10月2日)收到了我的新MacBook(认证翻新，直接来自苹果)。周六晚上8点，我完成了设置。周日上午9点14分，袭击开始。我突然开始收到手机上的2FA短信通知。我们开始吧：

上午9：14-我收到新登录电报的通知。在此之前，我没有通过短信收到Telegram的任何2FA代码，也没有收到Telegram的聊天记录。(攻击者是否删除了代码？如果你登录了多个设备，Telegram不会向你发送确认短信代码，而是在应用程序内发送代码。

上午9点18分--刚过，我就收到了雅虎发来的登录确认电子邮件。“我们向<；电话号码>；发送了一个代码，该代码用于登录您的Yahoo帐户”：

攻击者将他们的Chrome与账户同步。这意味着存储在该帐户的Google密码管理器中的所有密码都泄露了。Chrome为您存储的所有密码提供轻松的CSV导出。我猜袭击者就是这么用的。在攻击的以下步骤中，导出的密码被用作字典。

上午9点28分-苹果公司2FA电话。我来接电话。机器人的声音读出了我的2FA，线就掉了下来。

上午9点40分，我回到了家。压力是通过屋顶的+我在大约3小时的早晨循环后大汗淋漓。我正在打开我的笔记本电脑，试着了解发生了什么事。开始更改更多密码。突然间：

上午10点09分-我收到通知说，我的一个钱包里有一些代币被拿走了。

黑客移动了约800ETH、约1700美元辛苦赚取的UNI、约209.73 ETH/BTC RSI套装、价值约40美元的WBTC、27 DAI等…。总计$3000++。

我的iCloud里储存了一些旧的热钱包。有些是以文件的形式存在的。有些在Apple Notes中作为受密码保护的笔记。我很快意识到这个问题已经升级到了一个全新的水平。几秒钟后，我意识到我应该开始从所有触碰过我的iCloud的钱包中提取资金。转移密码本身就有压力-总是有把钱寄到错误的地址，并永远失去它们的风险。在压力下进行转会，在那里每一秒都很重要，是下一个层次。我已经尽力了。“我要先把所有的代币都转账吗？还是所有的乙醚？哪个更值钱？黑客首先要找的是什么？“--千头万绪掠过我的脑海。

星期二-我试着调查发生了什么。为了以防万一有人访问了我的笔记本电脑，我决定看看日志。

在我被黑客攻击的几个小时里，我没有注意到任何活动。我的笔记本电脑睡着了。盖子是合上的。我确实记得有一些电池活动，但我觉得没有什么意义。大多数MAC唤醒几秒钟或几毫秒以执行一些维护活动。

星期三晚上-我的旧笔记本电脑有点慢(和往常一样)，我决定重新启动它。当它开始启动时，它进入了“安装”模式。当Mac有一个重大的OS X更新时，它就会显示出来。我不记得有任何新的OS X版本问世，也没有任何等待安装…的更新。自然，我产生了怀疑。在等待安装完成几分钟后，没有取得太大进展。我想，考虑到最近的黑客攻击，我最好不要冒险。我最不想看到的就是一些恶意软件格式化我的硬盘。所以我强行关闭了我的Mac。第二天就把它带到了苹果店。

星期四--我去了苹果专卖店。令我相当惊讶的是，在重启电脑之后，苹果公司似乎没有人理解如何使用CLI。协助我的天才说，经过10分钟的交谈，我比他更有见识。(不过他人很好。)。这不是我当时想听到的。不管是谁。我们用外置硬盘重新启动了机器。我把我的重要文件搬出去了。然后我们又重新启动了我的笔记本电脑。大约20分钟后，我的笔记本电脑终于启动了。未格式化任何内容。我很高兴，…。就一会儿。

苹果天才设法找到了更多的资深天才，并将案件交给了他。只是巧合那家伙有网络取证背景。然而，苹果零售店的政策不允许他分享自己的观点或与我的机器互动，这超出了基本的“让我们重新安装操作系统”的级别。

如果您将私钥或助记符存储在您的Apple Notes或iCloud中，您可以随时使用它们。即使你有2FA。即使您的笔记受密码保护。任何东西都要用硬件钱包，不管你有多少密码。

请立即设置电报2FA密码。如果您的电报遭到黑客攻击，而您没有密码设置，黑客会为您设置密码。重置它的唯一方法就是重置你的整个账户。

确保您没有任何密码重复使用。甚至不是部分的。为您注册的每项新服务设置唯一的密码。将它们存储在密码管理器中。不要将您的主电子邮件存储在密码管理器中。记住一些主要的主密码，也不要重复使用它们。

不要将密码保存在您的Chrome中。或者，如果你这样做了，确保你的谷歌账户有多个级别的2FA。短信不是其中之一。

当你的笔记本电脑无人看管或晚上关机时，一定要关掉WiFi。或者，更好的做法是完全关闭它。合上盖子并将其置于休眠模式是不够的。您的笔记本电脑可以随时唤醒，即使在盖子关闭并且可以执行远程代码的情况下也是如此。

Malwarebytes--这是苹果推荐的，而且很管用。免费版本对于定期检查来说已经足够好了。

在第2部分中，我将介绍事件响应、取证、链分析以及攻击者的身份识别。我已经联系了几个来自网络安全和区块链领域的朋友，帮助我解决问题，拼凑出这个谜团。如果你想参与，帮助分析攻击并(希望)识别攻击者，请在推特(https://twitter.com/ksaitor))上与我联系，并跳转到我们的Google Doc。

James Pavur，Daniel Aaron，Tushar Singal，Sebastien Couture，Hitesh Suresh-感谢你们提供反馈并帮助澄清这一事件！