apikey 被偷跑 2700 元的后续 “黑客竟是我自己”

maomaosang 2026-07-17 12:20 1

前情: https://v2ex.com/t/1225382


我的诉求:退钱、调查碰撞可能性、调查黑客 ip 是否存在规模化活动。




工单查了 20 天,给我气笑了。。


他们说 apikey 的可能性是 36 的 32 次方,不可能碰撞。但是 32 位 0-f 最多 16 的 32 次方,不查就不查呗,随口编个数字给我。


然后说黑客 ip 和我的服务器是“同一应用”,也就是没有被盗,我自己请求的。。。黑客竟是我自己🤡?而他们知道黑客是 Windows ,我是 Linux ,这咋同一应用啊,我都不知道我应用还能跨平台。。他们也不肯说同一应用是怎么定义的。。


我猜是被盗率有 KPI 考核,所以坚决不能是“被盗”。调查黑客 ip 活动的诉求没有回应,没退钱我不在乎了,关单结束。




欢迎和感谢兄弟们继续指路自查方向,我们自查了很多遍,做了很多措施,但是目前确实还没找着鬼。

最新回复 (16)
  • ms17010 07-17 13:24
    1
    16^32 也是一个极其大的数,随机的话碰撞的方向就别想了
  • kasusa 07-17 13:27
    2
    是不是你开发的某些 web app 调用 ak 里面有漏洞。
  • 106npo 07-17 13:30
    3
    你上一次不是说他们查出来是北京家宽么
  • wakarimasen 07-17 13:30
    4
    别查了吧,漏太多了。比如一个搜狗输入法都可以用明文传输用户记录
  • vislins 07-17 14:13
    5
    前段时间,我用 Google 的 Place API 开发了一个自己用的 web app 。但是估计开发的时候,有一些逻辑没有设计好,导致有一天,一次性给我跑了快 100 USD 。我一度怀疑是泄露了,后面自己发现,应该是程序没有设计好,一下子并发太多导致的。后面修正好之后,再也没有这个问题了。
  • fang2hou 07-17 14:22
    6
    自己内网搞个 gateway 呗,所有开发人员还有应用都用内部发行的 key 从 gateway 走一遍,这样还能计算用量,出问题统一调控 fallback 。如果有 gateway 只有一个人能看见的前提下还有泄漏那就真得好好查查了。
  • hefish 07-17 14:27
    7
    key 写代码里了,commit 到 github 了。。。
  • maomaosang 楼主 07-17 14:28
    8
    @106npo 是,他们认为北京家宽和我的杭州服务器是“同一应用”,跟说我吃了两碗凉粉差不多
  • misaka19000 07-17 14:37
    9
    肯定是泄露了
  • bearbest 07-17 14:45
    10
    确实不太可能碰撞, 估计泄露后被一些中转平台薅羊毛了
  • EvanClausen 07-17 15:01
    11
    就算是 16^32 也不可能被碰撞吧,再说 API 那边肯定也有 422 限速。。可能是你自己的 App 或者楼上说的输入法之类的某个地方泄露了
  • FrankAdler 07-17 15:01
    12
    @fang2hou 涉及适配问题,newapi 明确说了不适配 coding plan ,事实上确实一对适配问题,最显著的就是缓存不生效,sub2api 也是在,其他的也没有完美的,我虽然搭了自己的 gateway ,但是用的很难受
  • Greenm 07-17 15:19
    13
    泄露了很正常啊,没有安全知识的人泄露太正常不过了,我有的时候没有 key 用了,就随机在 github 上搜一下用用。

    官方本来也不可能给你泄露的 apikey 兜底,就像银行取了钱离柜就不认了一样,谁知道你是怎么用的。 除非你有明确的证据证明你的 key 是由官方泄露的,不然官方不可能给你兜底的。
  • DawnOwl 07-17 15:53
    14
    我 ds 的 key 也泄露了,不过我损失不大。能确认泄露,这还是前两天才看到 ds 后台能按 key 看 token 消耗才确认的。这个 key 部署过的应用以前被供应链投毒还是啥的中过毒。
  • fang2hou 07-18 08:03
    15
    @FrankAdler 公司级别的中转不需要 newapi 这么复杂的,不用去重写通信包,验证记录完直接透过去就好了
  • FrankAdler 07-18 10:56
    16
    @fang2hou 自己写?反正 newapi sub2api 的透传其实也有问题,自己写估计也不复杂
* 帖子来源V2EX
返回