Gmail没被黑，却天天被东谈主登录，密码改了也没用，到底哪出问题了？

最近翻了革命闻，又看了几份安全陈说，发现一个相配反直观的事：谷歌真没说Gmail密码库被偷，可许多东谈主的邮箱便是被罢休了。不是黑客爆破谷歌管事器，而是他们早早就摸清了你用Gmail干啥——比如你公司用Salesforce存客户邮箱，又连了Drift发邮件，Drift再暗暗调了你的Google账号权限。这些链路全正当，全走宽泛API，连MFA弹窗齐照常跳，但你点“允许”的那一刻，密码、考据码、以致后续几十年的自动登录权，全被及时持走了。

我查了GTIG和Mandiant的通报，昔日Salesforce被ShinyHunters打穿，不是拿走源代码，是捞走客户名、职位、邮箱规范和Drift的OAuth令牌。这玩意儿不值钱？错。它等于给你画了张“何如骗你点和谐”的经由图。9月底UNC6395就用这个令牌，悄悄进了几十个Google Workspace账号。他们不急着删邮件，就蹲在那边看日期、抄对话、转发文档和谐——等你哪天点开一个写着“请说明会议议程”的.ics文献，后台如故把你谷歌账号的刷新令牌换成他们的了。

最艰巨的是，这事当今压根无须骗你输密码了。AiTM挫折初始批量出现。粗浅说，便是你翻开google.com/login，看到的如故真页面，连地址栏小锁图标齐在。但你输入的密码、点的MFA说明、以致用 Authenticator输的6位数，全被中间阿谁“代理管事器”及时转给黑客。他们连浏览器指纹齐给你模拟好了，连你平时爱用哪个国度的IP登录齐学得一模相通。你手机收到短信考据码？没用。你重设密码？没用。因为刷新令牌还在他们手里，就像一把永恒无须换电板的全能钥匙。

我试过我方查账户，发现好多已授权柄用压根记不清啥技能点的“允许”。里面有Drift、Salesforce、Zapier，还有两个名字像“CloudSync”和“EmailBridge”的，点进去看权限诠释，写的全是“稽察并修改你的Gmail、日期、云表硬盘”。我全删了。删完进Google安全页，把“仅限已知发送者”翻开了，以后通盘没存进我干系东谈主里的日期邀请、文档分享，胜仗进垃圾箱。这功能是2025年1月就上了，但许多东谈主不知谈，包括我。

密码解决器我也装了。昔日嫌艰巨，当今发现Bitwarden能自动提醒“这个Gmail密码在别的网站也用过”，还标红。我随即生成了个新密码，24位，带标志和大小写，它记住，我无须记。苹果密码APP我也开了iCloud钥匙串加密同步，因为17.4系统更新后，系统我方弹窗警戒说“未加密同步可能清楚密钥”。

MFA我也换了。短信考据码胜仗关掉。当今用YubiKey，插USB口就能登。真的没带Key，就用手机上的Passkey——Chrome 120、安卓14、iOS 17.4齐赈济了，无须输密码，东谈主脸或指纹点一下就行。别信“还得等两年才提升”，我问了公司IT，他们里面统计，68%的职工成立如故能用Passkey登录Gmail。

临了我干了三件事：第一，在Google安全页开“已知发送者”；第二，用密码解决器换掉Gmail主密码；第三，把“通行密钥”设成首选登录方式。悉数用了9分半。

当今我收邮件时，要是收到一个不将强的东谈主发来的“分享文档”，标题还相配肃肃，我胜仗不点。要是日期里倏得多出一个没约过的会议，我先看发件东谈主是不是我存过的干系东谈主。要是不是，我就当它不存在。

归刚直今登录Gmail，不是输入密码就完事，是每次齐要念念：我允许谁碰我的东西了？前次允许，是啥技能？

删完旧授权，开完新汲引，我点了下“登出通盘其他成立”。页面跳转，指示“已登出12台成立”。我没细数，但我知谈其中至少有两台，不是我的。