私人和重要数据不要存放在笔记软件 Craft 中
source link: https://www.v2ex.com/t/899957
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
想不到上次发帖还在给 Craft 做推广,这次发帖就是要质疑了。
事情的经过:
北京时间 12 月 4 日 11:01 我收到一封邮件,提示我的 Craft 账号邮箱已被更改。我登录账号发现,用户名和邮箱确实都被莫名其妙修改了,没有任何验证(用户名被改成了 GuangXuan G ,邮箱忘记截图了)。
我登录 Craft 的设备有三个,都在我身边,且不存在密码泄漏问题,因为它是用邮箱验证码登录的。但是邮箱被更改之前,我没有收到任何验证码之类的东西,就直接被更改了。
然后我将邮箱修改回我之前的邮箱,发现被占用了(因为我之前尝试过用原邮箱登录 Craft ,它自动给我创建了一个新账号),然后我把邮箱修改成 Gmail ,一切顺利,顺利到不需要任何验证,只要新邮箱收一个验证码就行。
最后,最离谱的事情发生了,我用新的 Gmail 邮箱账号登录 Craft ,提示我账号不存在,又给我创建了一个新账号,所以,我的 Craft 账号就这么莫名其妙消失了……
想不到 2022 年的今天,还有安全措施如此之差的软件。
第 1 条附言 · 2 小时 34 分钟前
更新一下原因:
找到原因了,原因是 Craft 加入了 Setapp,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft,并且修改了邮箱。
安全问题在于:我的 Craft 是单独的账号单独的 Pro 订阅,跟 Setapp 没有任何关联,但即使如此,也可以无验证直接登录 Craft(包括通过 Google/Apple 等等登录,只要邮箱一样,就不需要任何两步验证)。
而且修改账号邮箱不需要任何两步验证(密码/原邮箱验证码统统不需要),只要登录了这个账号,就可以修改它的一切内容,包括删除账号,也不需要任何的验证。
邮箱被修改与 Craft 无关,是个人原因。但是,Craft 的安全措施弱也是确实存在的,无验证就可以修改邮箱和删除账号,有点不太行。
第 2 条附言 · 2 小时 31 分钟前
账号丢失也让人不能接受。我的账号经历过 A 邮箱->被修改为 B 邮箱->我修改为 C 邮箱之后,就消失了,用 A C 邮箱均无法登录账号,都是创建一个新的账号。
这个有点离奇了。希望官方能找回来我的账号,然后把它修改为独立的邮箱…找不回来的话就弃用了
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK