刚刚看了别人的演示,steam盗号,好像是从受害者电脑里拿到一个授权文件,然后再在盗号者电脑上用上号器劫持授权,就能无视密码,无视steam手机令牌,无视手机,无视邮箱直接上你的号,甚至还能当着受害者在线的面卖掉他的饰品,太可怕了
后来想到买telegram和discord的贩子不也是这样的吗?都是给个文件发给你,直接文件覆盖一下就能上号了,2FA密码都没起效果。
而国内大多数平台现在(很早以前的就不说了)都是强制手机号2FA的,好像没见过这种劫持授权或者覆盖下文件就能强登 还能无视手机号2FA的,稍微有点不对劲就给你踹下线了要验证码了。
ps:翻了下论坛发现github也能这样无视2FA强登,离谱
