当你购买微软 Office E3 MSDN 二手账号时需要多加小心,因为别有用心的人可能通过预设具有账户操作权限 API 的方式重新获得对管理员账号的所有权。
这并非特别新鲜的事,只是最近的案例表明它的危害显然被低估了,多数买家并不了解这些,甚至不知道API的存在,而不幸的是一些骗徒正在利用这一点。
API 可以改变账号权限,修改密码,当骗子重新登录了全局管理员账号就会修改用户名。买家发现无法登录时他们可以用微软删号、买家自己忘记了密码这样的理由为自己开脱,即便买家怀疑也没有证据证明这一切。骗子得以继续在论坛等公开场合招摇撞骗。这不新奇,事实上最近一起事件就发生在数小时之前,Loc上的一名用户极度怀疑卖家盗号,但起初他甚至拒绝透露卖家的论坛ID。
卖家只需要一个能够便捷操作API的工具,获得这样的作案工具也出奇地简单,因为有人开发了它们。这些工具最初被发明出来是为了便于管理子账号或者在管理员账号被封锁后还可以提权其它账号。但有人发现了其它更“经济”的用途、
不过,在另外一个案例中它起到了非常正面的作用,因为这一次买家知道API而卖家不知道。卖家通过手机号找回密码后,由于事先买家设置了API,他很幸运地找回了账号,并且愚弄了摸不着头脑的卖家,得到了卖家的登录IP从而证明了卖家盗号。
如果你此前购买过这样的账号,请务必到 Azure Active Directory 平台查看并剔除未知的应用。