我的Chrome里莫名多了一个别人的账号且可以登录进对方gmail账号

[airy]

上午我遇到一个google账户的严重的安全问题

在我打开我电脑上的chrome浏览器（win10下的chrome 60.0.3112.113（正式版本） （64 位））之后，我发现chrome上居然多了一个朋友的google账户，我可以切换到他的账户，并可以打开使用他的gmail、g+等google账户相关的服务，期间没有提示输入密码。

而他从没用过我电脑或浏览器登录过，而且我得知他的google账户开了两步验证，我切换到他账户时他并没有得到任何提示，直到我告诉他他才知道。

我前后登录他的账号十几分钟，但最终他没有看到账号安全里有其他设备登录，只有gmail的登录历史里看到有我的IP。

这个事情让我很担忧google账户的安全性。我觉得google最好可以重视起来。

​

g+有些这个事情的讨论

https://plus.google.com/+%E7%91%9E%E8%89%BE/posts/5zuhxqkkzg2

[孑影]

这个google 公司发给你的任意传送门。

#风起看云涌，叶落品人生#

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Chaos Eternal]

有啥好说的，赶紧发google的bug report

On Wed, Sep 6, 2017 at 12:40 AM 孑影 <yhsp...@gmail.com> wrote:

这个google 公司发给你的任意传送门。

#风起看云涌，叶落品人生#

2017-09-05 19:08 GMT+08:00 airy <airy...@gmail.com>:

上午我遇到一个google账户的严重的安全问题

在我打开我电脑上的chrome浏览器（win10下的chrome 60.0.3112.113（正式版本） （64 位））之后，我发现chrome上居然多了一个朋友的google账户，我可以切换到他的账户，并可以打开使用他的gmail、g+等google账户相关的服务，期间没有提示输入密码。

而他从没用过我电脑或浏览器登录过，而且我得知他的google账户开了两步验证，我切换到他账户时他并没有得到任何提示，直到我告诉他他才知道。

我前后登录他的账号十几分钟，但最终他没有看到账号安全里有其他设备登录，只有gmail的登录历史里看到有我的IP。

这个事情让我很担忧google账户的安全性。我觉得google最好可以重视起来。

​

g+有些这个事情的讨论

https://plus.google.com/+%E7%91%9E%E8%89%BE/posts/5zuhxqkkzg2

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[汪蒲新]

google 反馈中那个？按照以前的经验不会有任何回应

在 2017年9月6日 上午9:56，Chaos Eternal <eterna...@shlug.org>写道：

有啥好说的，赶紧发google的bug report

On Wed, Sep 6, 2017 at 12:40 AM 孑影 <yhsp...@gmail.com> wrote:

这个google 公司发给你的任意传送门。

#风起看云涌，叶落品人生#

2017-09-05 19:08 GMT+08:00 airy <airy...@gmail.com>:

上午我遇到一个google账户的严重的安全问题

在我打开我电脑上的chrome浏览器（win10下的chrome 60.0.3112.113（正式版本） （64 位））之后，我发现chrome上居然多了一个朋友的google账户，我可以切换到他的账户，并可以打开使用他的gmail、g+等google账户相关的服务，期间没有提示输入密码。

而他从没用过我电脑或浏览器登录过，而且我得知他的google账户开了两步验证，我切换到他账户时他并没有得到任何提示，直到我告诉他他才知道。

我前后登录他的账号十几分钟，但最终他没有看到账号安全里有其他设备登录，只有gmail的登录历史里看到有我的IP。

这个事情让我很担忧google账户的安全性。我觉得google最好可以重视起来。

​

g+有些这个事情的讨论

https://plus.google.com/+%E7%91%9E%E8%89%BE/posts/5zuhxqkkzg2

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+unsubscribe@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[airy]

可以确认的几件事情：

1. 之前我们没有见过，对方没有在我任何设备上登录过他的账号，更不会把账号密码或授权码交给我，我也没做什么可能窃取账户的动作，没有尝试用他的邮箱登录过。

2. 事后他检查账号并没有设置关联账号或gmail邮件委托。

3. 之前我的chrome并没有其他异常，google账号也正常

他的账号的登录设备里有个Apple iPhone像是异常，时间差不多，在设备信息里看不到IP，但我登录用的是windows 10，可能是登录被记录，但设备类型显示错误了吧。。

[Tolbkni Kao]

可是就这么巧，刚好是你朋友的 Google 账号，这就值得好好分析一番了

[airy]

是啊， 我chrome上装有google官方的hangout插件，用它跟这朋友聊过几次，特殊一点的也仅此而已

[airy]

知道问题出在哪了，朋友用iPhone的手机的g+客户端的copy link发给我过一个帖子的link，这个link带有账号信息，我用这个link在chrome中打开了帖子，她的账号就加进了我的chrome。

据她说是网速比较慢的时候，打开g+客户端在登录账号时copy link生成的link会是 https://accounts.google.com/accounts/TokenAuth?auth=xxxxxxxxxxxxxxx.....

这种

这样链接发出去就把孩子连洗澡水一起泼出去了。。。

[tlze]

我也转发链接，但没留心看过，看来得注意，免得“把孩子连洗澡水一起泼出去了”。

On Sat, Sep 30, 2017 at 10:15 AM airy <airy...@gmail.com> wrote:

知道问题出在哪了，朋友用iPhone的手机的g+客户端的copy link发给我过一个帖子的link，这个link带有账号信息，我用这个link在chrome中打开了帖子，她的账号就加进了我的chrome。

据她说是网速比较慢的时候，打开g+客户端在登录账号时copy link生成的link会是 https://accounts.google.com/accounts/TokenAuth?auth=xxxxxxxxxxxxxxx.....

这种

这样链接发出去就把孩子连洗澡水一起泼出去了。。。

在 2017年9月6日 上午10:49，airy <airy...@gmail.com>写道：

是啊， 我chrome上装有google官方的hangout插件，用它跟这朋友聊过几次，特殊一点的也仅此而已

在 2017年9月6日 上午10:34，Tolbkni Kao <tol...@gmail.com>写道：

可是就这么巧，刚好是你朋友的 Google 账号，这就值得好好分析一番了

在 2017年9月6日 上午10:26，airy <airy...@gmail.com>写道：

可以确认的几件事情：

1. 之前我们没有见过，对方没有在我任何设备上登录过他的账号，更不会把账号密码或授权码交给我，我也没做什么可能窃取账户的动作，没有尝试用他的邮箱登录过。

2. 事后他检查账号并没有设置关联账号或gmail邮件委托。

3. 之前我的chrome并没有其他异常，google账号也正常

他的账号的登录设备里有个Apple iPhone像是异常，时间差不多，在设备信息里看不到IP，但我登录用的是windows 10，可能是登录被记录，但设备类型显示错误了吧。。

在 2017年9月6日 上午12:40，孑影 <yhsp...@gmail.com>写道：

这个google 公司发给你的任意传送门。

#风起看云涌，叶落品人生#

2017-09-05 19:08 GMT+08:00 airy <airy...@gmail.com>:

上午我遇到一个google账户的严重的安全问题

在我打开我电脑上的chrome浏览器（win10下的chrome 60.0.3112.113（正式版本） （64 位））之后，我发现chrome上居然多了一个朋友的google账户，我可以切换到他的账户，并可以打开使用他的gmail、g+等google账户相关的服务，期间没有提示输入密码。

而他从没用过我电脑或浏览器登录过，而且我得知他的google账户开了两步验证，我切换到他账户时他并没有得到任何提示，直到我告诉他他才知道。

我前后登录他的账号十几分钟，但最终他没有看到账号安全里有其他设备登录，只有gmail的登录历史里看到有我的IP。

这个事情让我很担忧google账户的安全性。我觉得google最好可以重视起来。

g+有些这个事情的讨论

https://plus.google.com/+%E7%91%9E%E8%89%BE/posts/5zuhxqkkzg2

​

[Jackie Mao]

连带token验证信息都发过去了,然后还保存验证了? 

要是第一个report的应该会有奖金吧

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN

---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。