儘管6月26日是一個平平無奇的日子，但對於許多人來說，這或許是個讓他們難忘的一天。因為在6月26日這天夜間，QQ發生了大規模盜號事件，部分使用者的QQ號因此被盜，並會在群聊或私聊中傳送不良資訊，甚至無論對方是誰都照發不誤，也直接讓被盜號的倒黴蛋陷入“社死”狀態。

作為國內市場最為知名的社交平臺之一，大規模出現盜號自然也引發瞭如潮般的討論。而關於QQ號到底是怎麼被盜的，網友們也腦洞大開，並且由於中招的群體中有諸多都是學生，再聯想到此前曾有一款相關應用被曝疑似出現數據庫洩露，所以有猜測是其密碼洩露導致的“撞庫攻擊”，但這一推測很快也被官方否認。

一天後，騰訊方面也做出了迴應，並表示，“QQ安全團隊高度重視並立即展開調查，發現主要原因系使用者掃描過不法分子偽造的遊戲登入二維碼並授權登入，該登入行為被黑產團伙劫持並記錄，隨後被不法分子利用傳送不良圖片廣告”

。也就是說，

QQ方面將大規模盜號事件的緣由，指向了部分使用者掃描了被偽造的二維碼、導致被盜號。

關於這一解釋暫時先放在一邊，先來說說為什麼會發生在使用者本人線上的情況下還能傳送資訊，甚至出現了一邊被盜號者傳送不良資訊、一邊是使用者向對方道歉的“奇景”。

由於常規意義上的盜號，通常是在拿到了密碼、並繞過裝置鎖後，直接登使用者的QQ，再“洗劫”QQ號中的資產。然而，此次大規模盜號卻“只”傳送了不良資訊，因此也使得此次事件與一般意義上的盜號有所不同。

其實，要解釋使用者線上卻只能眼睜睜看著自己傳送不良資訊，只需弄清QQ傳送訊息的原理即可。事實上，包括

QQ在內的

APP想要實現各種不同的功能，都是需要呼叫程式內不同的API介面實現，有的API介面管登入、有的API負責發訊息、有的API則能實現加好友，其中登入API負責的是判斷“你是你”，然後會下放用於鑑權的cookies，用這個cookies就可以呼叫QQ這個應用中的其他介面，來實現使用者所需要的功能。

此次事件的情況則是，黑產團隊透過偽造二維碼的方式獲得了屬於使用者的cookies，直接用這個cookies就能呼叫負責傳送訊息的API，根本不需要登入就能實現傳送資訊的效果。其實此前就曾有過，在網站上透過QQ進行第三方登入就出現過被跨站指令碼攻擊拿到cookies，然後使用者的QQ在手機上登入卻自動給其他人發訊息的爆料。

但不同於跨站指令碼攻擊，此次被盜號的QQ使用者實際上是被釣魚攻擊了，使用者原本以為掃描的QQ方面提供的掃碼登入，但實際上掃的卻是偽造的二維碼。據部分被盜號者反饋集中在網咖登入WeGame，也正好解釋了偽造這一二維碼的可行性，畢竟這類公共裝置一向是盜號事件的主要地點，同時也洗脫了某學習類APP的相關傳言。

然而，QQ方面給出的解釋，卻可能暴露了目前二維碼登入這一模式存在基礎漏洞，即藉助二維碼來欺騙毫無戒心的使用者，這種行為在海外則被稱為“Quishing”。

由於二維碼本身具有唯一性（即可變性），所以也給予了其出色的防偽特性，但這改變不了二維碼本身只是資料的載體，它所指向的內容卻是使用者不可控的。從本質上來說，二維碼與一串網址其實是一樣的，如果二維碼是指向一個包含木馬或病毒的網址，那麼自然就有了可能導致中毒或被盜號。

事實上，QR-code（二維碼）技術在被髮明後，沒有立即得到大規模應用最為核心的問題，就是安全性存疑。由於二維碼被設計出來就是給計算機而非人類看的，只有透過相應的解碼程式才能解析出二維碼中包含的資訊，這對於非專業人士來說是完全的黑箱。畢竟分辨釣魚網站時尚可直接對比網址，但二維碼又要如何進行比對呢。

從本質上來說，掃碼登入與賬號密碼其實幾乎是一回事，但得益於多年來的網路安全教育，大多數使用者在輸入密碼時往往會比較謹慎，但掃碼時則會相對比較隨意。畢竟大家肯定面對路邊來源不明的二維碼有警惕，但是對於騰訊等大型網際網路企業提供的二維碼就幾乎不會有太多擔憂了，這歸根結底無疑是網際網路企業用信譽進行背書的結果。

此次QQ大規模盜號事件最為核心的問題，就是使用者相信了“騰訊”給出的二維碼，但使用者也是無辜的，因為並沒能力去分辨這個二維碼到底是出自哪裡。所以未來在用手機掃碼時，建議大家還是多留個心眼，非必要儘量不使用掃碼登入，相較之下使用動態的手機驗證碼或類似網易將軍令這種多因素認證工具，才更為安全。