• 请不要在回答技术问题时复制粘贴 AI 生成的内容
maomaosang
V2EX  ›  程序员

apikey 被偷跑 2700 元的后续 “黑客竟是我自己”

  •  
  •   maomaosang · 2 days ago · 3356 views

    前情: https://v2ex.com/t/1225382

    我的诉求:退钱、调查碰撞可能性、调查黑客 ip 是否存在规模化活动。


    工单查了 20 天,给我气笑了。。

    他们说 apikey 的可能性是 36 的 32 次方,不可能碰撞。但是 32 位 0-f 最多 16 的 32 次方,不查就不查呗,随口编个数字给我。

    然后说黑客 ip 和我的服务器是“同一应用”,也就是没有被盗,我自己请求的。。。黑客竟是我自己🤡?而他们知道黑客是 Windows ,我是 Linux ,这咋同一应用啊,我都不知道我应用还能跨平台。。他们也不肯说同一应用是怎么定义的。。

    我猜是被盗率有 KPI 考核,所以坚决不能是“被盗”。调查黑客 ip 活动的诉求没有回应,没退钱我不在乎了,关单结束。


    欢迎和感谢兄弟们继续指路自查方向,我们自查了很多遍,做了很多措施,但是目前确实还没找着鬼。

    Supplement 1  ·  1 day ago
    上个帖子里面已经基本排除了 碰撞、app 被刷、env 文件整体被盗或上传到公开平台 这些可能性,所以大家的相关建议就不一一回复了。

    发上个帖子之前,我已经向杭州厂明确表示,可以接受不赔和不查,如 13 楼兄弟所说,我理解人家没有义务去帮我查我的财产失窃原因。但杭州厂可能是出于流程要求,始终没有拒绝过我,并且表示多个部门一直在持续跟进这件事。结果 20 天之后,随口编数字+认定黑客 IP 就是我,只让人觉得是浪费双方的时间。

    感觉工单客服在“努力满足客户”,但技术部门认为“关我屁事”,最终就造成了这样的局面。
    17 replies    2026-07-18 20:43:32 +08:00
    ms17010
        1
    ms17010  
       2 days ago
    16^32 也是一个极其大的数,随机的话碰撞的方向就别想了
    kasusa
        2
    kasusa  
       2 days ago
    是不是你开发的某些 web app 调用 ak 里面有漏洞。
    106npo
        3
    106npo  
       2 days ago
    你上一次不是说他们查出来是北京家宽么
    wakarimasen
        4
    wakarimasen  
       2 days ago via Android
    别查了吧,漏太多了。比如一个搜狗输入法都可以用明文传输用户记录
    vislins
        5
    vislins  
       2 days ago
    前段时间,我用 Google 的 Place API 开发了一个自己用的 web app 。但是估计开发的时候,有一些逻辑没有设计好,导致有一天,一次性给我跑了快 100 USD 。我一度怀疑是泄露了,后面自己发现,应该是程序没有设计好,一下子并发太多导致的。后面修正好之后,再也没有这个问题了。
    fang2hou
        6
    fang2hou  
       2 days ago
    自己内网搞个 gateway 呗,所有开发人员还有应用都用内部发行的 key 从 gateway 走一遍,这样还能计算用量,出问题统一调控 fallback 。如果有 gateway 只有一个人能看见的前提下还有泄漏那就真得好好查查了。
    hefish
        7
    hefish  
       2 days ago
    key 写代码里了,commit 到 github 了。。。
    maomaosang
        8
    maomaosang  
    OP
       2 days ago
    @106npo 是,他们认为北京家宽和我的杭州服务器是“同一应用”,跟说我吃了两碗凉粉差不多
    misaka19000
        9
    misaka19000  
       2 days ago
    肯定是泄露了
    bearbest
        10
    bearbest  
    PRO
       2 days ago
    确实不太可能碰撞, 估计泄露后被一些中转平台薅羊毛了
    EvanClausen
        11
    EvanClausen  
       2 days ago
    就算是 16^32 也不可能被碰撞吧,再说 API 那边肯定也有 422 限速。。可能是你自己的 App 或者楼上说的输入法之类的某个地方泄露了
    FrankAdler
        12
    FrankAdler  
       2 days ago via Android
    @fang2hou 涉及适配问题,newapi 明确说了不适配 coding plan ,事实上确实一对适配问题,最显著的就是缓存不生效,sub2api 也是在,其他的也没有完美的,我虽然搭了自己的 gateway ,但是用的很难受
    Greenm
        13
    Greenm  
       2 days ago
    泄露了很正常啊,没有安全知识的人泄露太正常不过了,我有的时候没有 key 用了,就随机在 github 上搜一下用用。

    官方本来也不可能给你泄露的 apikey 兜底,就像银行取了钱离柜就不认了一样,谁知道你是怎么用的。 除非你有明确的证据证明你的 key 是由官方泄露的,不然官方不可能给你兜底的。
    DawnOwl
        14
    DawnOwl  
       2 days ago via Android
    我 ds 的 key 也泄露了,不过我损失不大。能确认泄露,这还是前两天才看到 ds 后台能按 key 看 token 消耗才确认的。这个 key 部署过的应用以前被供应链投毒还是啥的中过毒。
    fang2hou
        15
    fang2hou  
       1 day ago via iPhone
    @FrankAdler 公司级别的中转不需要 newapi 这么复杂的,不用去重写通信包,验证记录完直接透过去就好了
    FrankAdler
        16
    FrankAdler  
       1 day ago
    @fang2hou 自己写?反正 newapi sub2api 的透传其实也有问题,自己写估计也不复杂
    yijiangchengming
        17
    yijiangchengming  
       1 day ago
    内网自建 newapi
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2605 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 70ms · UTC 15:31 · PVG 23:31 · LAX 08:31 · JFK 11:31
    ♥ Do have faith in what you're doing.