• 请不要在回答技术问题时复制粘贴 AI 生成的内容
maomaosang
V2EX  ›  程序员

apikey 被偷跑 2700 元的后续 “黑客竟是我自己”

  •  
  •   maomaosang · 16h 18m ago · 2539 views

    前情: https://sunp.eu.org/t/1225382

    我的诉求:退钱、调查碰撞可能性、调查黑客 ip 是否存在规模化活动。


    工单查了 20 天,给我气笑了。。

    他们说 apikey 的可能性是 36 的 32 次方,不可能碰撞。但是 32 位 0-f 最多 16 的 32 次方,不查就不查呗,随口编个数字给我。

    然后说黑客 ip 和我的服务器是“同一应用”,也就是没有被盗,我自己请求的。。。黑客竟是我自己🤡?而他们知道黑客是 Windows ,我是 Linux ,这咋同一应用啊,我都不知道我应用还能跨平台。。他们也不肯说同一应用是怎么定义的。。

    我猜是被盗率有 KPI 考核,所以坚决不能是“被盗”。调查黑客 ip 活动的诉求没有回应,没退钱我不在乎了,关单结束。


    欢迎和感谢兄弟们继续指路自查方向,我们自查了很多遍,做了很多措施,但是目前确实还没找着鬼。

    14 replies    2026-07-17 15:53:51 +08:00
    ms17010
        1
    ms17010  
       15h 13m ago
    16^32 也是一个极其大的数,随机的话碰撞的方向就别想了
    kasusa
        2
    kasusa  
       15h 10m ago
    是不是你开发的某些 web app 调用 ak 里面有漏洞。
    106npo
        3
    106npo  
       15h 8m ago
    你上一次不是说他们查出来是北京家宽么
    wakarimasen
        4
    wakarimasen  
       15h 8m ago via Android
    别查了吧,漏太多了。比如一个搜狗输入法都可以用明文传输用户记录
    vislins
        5
    vislins  
       14h 25m ago
    前段时间,我用 Google 的 Place API 开发了一个自己用的 web app 。但是估计开发的时候,有一些逻辑没有设计好,导致有一天,一次性给我跑了快 100 USD 。我一度怀疑是泄露了,后面自己发现,应该是程序没有设计好,一下子并发太多导致的。后面修正好之后,再也没有这个问题了。
    fang2hou
        6
    fang2hou  
       14h 15m ago
    自己内网搞个 gateway 呗,所有开发人员还有应用都用内部发行的 key 从 gateway 走一遍,这样还能计算用量,出问题统一调控 fallback 。如果有 gateway 只有一个人能看见的前提下还有泄漏那就真得好好查查了。
    hefish
        7
    hefish  
       14h 11m ago
    key 写代码里了,commit 到 github 了。。。
    maomaosang
        8
    maomaosang  
    OP
       14h 9m ago
    @106npo 是,他们认为北京家宽和我的杭州服务器是“同一应用”,跟说我吃了两碗凉粉差不多
    misaka19000
        9
    misaka19000  
       14h 0m ago
    肯定是泄露了
    bearbest
        10
    bearbest  
    PRO
       13h 52m ago
    确实不太可能碰撞, 估计泄露后被一些中转平台薅羊毛了
    EvanClausen
        11
    EvanClausen  
       13h 37m ago
    就算是 16^32 也不可能被碰撞吧,再说 API 那边肯定也有 422 限速。。可能是你自己的 App 或者楼上说的输入法之类的某个地方泄露了
    FrankAdler
        12
    FrankAdler  
       13h 37m ago via Android
    @fang2hou 涉及适配问题,newapi 明确说了不适配 coding plan ,事实上确实一对适配问题,最显著的就是缓存不生效,sub2api 也是在,其他的也没有完美的,我虽然搭了自己的 gateway ,但是用的很难受
    Greenm
        13
    Greenm  
       13h 18m ago
    泄露了很正常啊,没有安全知识的人泄露太正常不过了,我有的时候没有 key 用了,就随机在 github 上搜一下用用。

    官方本来也不可能给你泄露的 apikey 兜底,就像银行取了钱离柜就不认了一样,谁知道你是怎么用的。 除非你有明确的证据证明你的 key 是由官方泄露的,不然官方不可能给你兜底的。
    DawnOwl
        14
    DawnOwl  
       12h 44m ago via Android
    我 ds 的 key 也泄露了,不过我损失不大。能确认泄露,这还是前两天才看到 ds 后台能按 key 看 token 消耗才确认的。这个 key 部署过的应用以前被供应链投毒还是啥的中过毒。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   922 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 57ms · UTC 20:38 · PVG 04:38 · LAX 13:38 · JFK 16:38
    ♥ Do have faith in what you're doing.