(@sell9000 )

PSA 回复：昂贵的 opsec 课程
目前，我已确认是 Google 登录导致了此次入侵。在攻击发生前大约半天，一台未知的 Windows 机器获得了访问权限。它还欺骗了设备名称，因此新活动警报的通知（发生在我睡觉时的清晨）看起来与我通常使用的设备相似（除非我是被特别针对的，否则这可能是对常见设备名称的精心策划的赌博）。
经过进一步调查，该设备是由 #KaopuCloud 托管的 VPS，作为 Telegram 中的黑客圈共享的全球边缘云提供商，过去曾被共享用户用于 #phishing 和其他恶意活动。
我确实启用了 2FA，用户设法绕过了它。我尚未确定具体是如何实现的，但可能的攻击媒介是 OAuth 网络钓鱼、跨站点脚本或对受感染站点的中间人攻击，随后可能还会有额外的 #Malware 。事实上，最近有报道称 #OAuth endpoint 攻击劫持了用户 cookie 会话 (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…)。如果您必须使用从 Google 登录，请务必小心。

要点：
1. Bitdefender 很烂，它什么也没发现，而 Malwarebytes 事后发现了很多漏洞。
2. 不要因为多年来一直在移动大量数据而没有出现问题而沾沾自喜。
3. 永远不要输入种子，不管你给自己什么合理的借口。不值得冒险，只需摧毁计算机并重新开始。
4. 我不再使用 Chrome，而是坚持使用 Brave 等更好的浏览器。
5. 最好不要混合使用设备，并且要有一个独立的设备用于加密活动。
6. 如果您继续使用基于 Google 的设备或身份验证，请务必检查 Google 活动警报。
7. 关闭扩展同步。或者只是关闭独立加密机器的同步期。
8. 2FA 显然不是万无一失的，不要对此掉以轻心。