我的粉專回來了，所以，現在我要告訴你過去九天發生了什麼事：我經營六年的Facebook粉專「龍貓大王通信」，如何在二十分鐘內被駭客奪走，最後取回粉專的經過。

先說前情提要。

我最不喜歡在龍貓大王通信的留言之一，是那種開口就說「小編」云云的留言。因為這裡沒有小編、沒有團隊、從二十年前我開始經營部落格開始，始終就只有我一個人。不過在開始經營這個粉專後，我太太成為了粉專的「廣告管理員」，負責處理下廣告事宜——你應該要懂，Facebook粉專如果沒有下廣告，那麼你是看不到我的文章的，FB就是這麼資本主義。

但是太太也只是負責廣告而已。這個粉專的任何文字、圖片、連結等等內容，都是由我一人決定。

所以這個粉專有兩位管理員：我是擁有所有權限（除了廣告）的完整管理員；太太是廣告管理員。而我們兩個帳號，都有設定兩階段認證（2FA），都有使用Google Authenticator，都有通過FB的「安全檢測」云云。做為資訊業前從業人員，我覺得這樣管理應該是很安全的。我不會使用任何外面的公開電腦登入FB、我不會使用任何公開免費Wifi登入FB、我常態性使用我最愛的Surfshark VPN進行連線（Surfshark請業配我）。而我的密碼也不會寫在書桌便條紙上……我透過Lastpass服務來管理我所有的密碼。

順帶一提，我目前使用家裡的PC工作，偶而使用iPhone 11 pro max工作。有時我會有遠端連線桌面的需求（但這兩年只用過一次），所以我的PC有安裝Teamviewer……但是登入一樣有使用2FA驗證。

好的，以上就是我在十一月二日以前的日常工作設定，一切在這一天下午之後開始變調。

---

◎十一月二日

中午，我參加金馬影展《我們的末日從這裡開始》試映，我對英國災難電影毫無抵抗力，而這部電影跟我想像的一樣好。於是我一如往常地，在十二點多試映過後，立刻返家開始寫文。

※16：33 

這時我仍然在寫稿——我寫稿時會進入自閉狀態，不會回應任何訊息。但就在此時，我的信箱收到了一封「你剛剛是否新增了電子郵件地址？」的信件，不過我沒有注意信箱。這封信裡，一個名為 iujtfd6vghynpxrr@aitarget.business 的mail地址被加入了我的FB個人帳號。也就是說在1632這個時間點，我的FB個人帳號已經被控制，並加入了陌生mail地址。

※16：33

數秒後另一封FB信件寄到：顯示我的FB個人帳號要求重設密碼。按照FB邏輯，會寄發「密碼重設確認碼」給我當初個人帳號設定的mail地址，但這時我還是不知道這件事……請注意，因為我不知道，所以我也沒有去點這封密碼重設信裡的「更改密碼」連結。

※16：33

數杪後FB又寄信：「你剛剛是否重設了密碼？」。代表我的FB個人帳號密碼，在我沒有點下更改密碼連結時，已經被修改了——這代表駭客已經透過剛剛加入的 aitarget.business mail位址收到了密碼重設信，並且已經確認修改密碼。

※16：34

FB發信：我原本個人帳號的mail位址已經被刪除，

※16：50

FB發信，內文是我的個人帳號「安全驗證碼」。這有點妙，剛剛我的mail位址已經被刪除了，但我還是能收到這封信。

之後就音訊全無了，代表我的FB個人帳號已經被知道帳密、已經被移除mail位址、已經被修改密碼。

※17時左右

我的文章寫完了，這時我也發現我的FB網頁版被強制登出，手機版也被強制登出。我用帳密登入，發現進入了無窮迴圈：輸入帳密登入→顯示「你想登入這個帳號嗎？」→無法登入（並且顯示「你的密碼在30分鐘前已被修改，這時我已經深覺大鑊）→畫面顯示「是否要用其他方式登入」，這時，FB畫面上顯示會將登入代碼，以簡訊傳到我的手機號碼……一支開頭是「+65」的手機號碼。國碼+65是一支印尼電話號碼。

慘了，我被駭了。

就在二十分鐘內，我的FB個人聯絡資訊全部都被修改了。代表在那之前，駭客已經知道我的帳密，並且能夠繞過我的2FA設定，登入我的帳號。在這個過程中，我的手機FB app沒有顯示任何警訊——理論上FB app應該要在異常登入狀況發生時，顯示警告訊息。

而就在我開心寫完《我們的末日從這裡開始》影評（這是部好電影）之後，我的末日他媽的從這裡開始。

※17：48

這個時間點，我不能登入FB，也無法對龍貓大王通信作任何事……但是！我太太的帳號還在粉專裡，她還是廣告管理員。因此，在1748，我用她的帳號登入，並且在這個粉專留下了上一篇你們看到的警告訊息。我想著，現在我的個人帳號已經被奪走了，駭客現在可以對這個粉專做任何事，可能等等就要發政治、投資還是情色文了，所以我寫了這篇警告，希望大家不要被騙……問題是，現在身為管理員的駭客，應該可以隨時刪除它。

更妙的是，有賴於本粉專觸及率極低，可能是沒有下廣告的原因，其實很多網友根本沒看到這一篇……連駭客都沒看到？到現在，這篇警告仍然沒有被刪除——這其實留下了一個疑點。

我不斷地重新登入，畫面上出現，「你的密碼已經被變更，如果你不記得有作過此修改，請點擊這裡」，我點擊了「這裡」，應該是進入fb/hacked這個網頁，它會要求我上傳身份證件。但問題是，我的FB個人帳號並不是實名……我好奇那我上傳身份證照片有意義嗎？但總之我上傳了……然後什麼事都沒發生。我繼續瘋狂登入，但這也只是在我下次登入時，畫面上會顯示「你已經舉報……如果你搞錯了那可以取消」云云的字樣，我想著，那駭客會不會隨手就取消了？

※18點左右

太太這時將廣告管理員的所有信用卡都解綁了……因為這可能是駭客的目的。

為什麼我的老殘窮粉專會被駭？這時有幾個可能：

• 像上述說的，駭客想要用我的粉專作詐欺：但龍貓大王通信的觸及率低得可憐，在我最近連續數週都在文內貼連結的狀況下，有些發文觸及率終於觸底到了一千以下。我正常的推文都吸引不了人了，要玩詐欺真的太看得起我了。
• 太太的說法是，有人會駭入別人粉專，透過粉專綁定下廣告之用的信用卡，下駭客想要下的廣告。駭客等於拿到了免費小金庫，聽說有人因此被迫為駭客付了幾百萬的廣告費。
• 仇恨犯罪：根據上述提到的疑點，我懷疑有人就是要毀掉這個粉專。可能因為我先前罵了前台北市長、可能因為我覺得《閃電俠》好看、或可能各式各樣的理由，對陰謀論者的大王而言，這些都可能導致某位瘋狂的網友毀滅我的粉專。我只能說，跟你的意見不同真的不好意思，但這裡真的不值得你大費周章地破壞啊……

※19：45

這時，我的個人帳號被刪除了。

在刪除前，粉專加入了新的管理員，而且是擁有所有權限的管理員，這個帳號：「DessieJean Parish」（idonywanderus@outlook.com），正式掌管龍貓大王通信。不過這時我太太的帳號仍然還是廣告管理員……而Dessie加入不久，我的個人帳號就被刪除了……這也代表我與其他合作媒體的溝通管道被砍斷了。

至今事件發生五小時，我一直沒有收到任何FB的回應，什麼事也不能做。

◎十一月三日

※10：00

我買了X的會員（所以我現在X帳號有藍勾勾嘍呵呵）。某種程度上我其實已經有放棄FB的念頭了。但我還是要救回這個粉專，因為這個粉專被駭客控制了，我無法預期他會進行什麼破壞我名譽的舉動，而且我在許多媒體或雜誌或書上的自我介紹，都大大寫著「龍貓大王通信」——現在大多時候我為書或電影推薦時，抬頭甚至就是「龍貓大王通信」而非「龍貓大王」。就算我之前說過「不想依賴FB」，但不代表我「能夠」完全不管FB。

◎十一月七日

這邊要感謝非常多的合作夥伴，以及X和IG上的網友，他們提供很多方法想幫助我。有一些朋友提到這篇文章：【臉書被盜怎麼辦？── 如何取回被盜的 Facebook 帳號教學文】（https://bit.ly/49yfWkX），但我的狀況跟他不太一樣，因為他被駭時，他的mail位址沒有被改；而且他上傳身份證件是有效的（他的個人帳號可能是實名）。我的狀況更快速，是密碼與mail位址快速被修改，而且幾小時內帳號就被刪除。

而有一些合作夥伴非常熱心地要幫我找FB的窗口，最終，也是這些朋友幫我處理完這次的事件，真的非常感謝。但同時我也覺得，今天是因為我有這些長期合作的業務夥伴，但如果是一般的用戶遇上這種事，該到哪裡去找窗口協助處理？

先回到十一月七日。

※12：00

FB一樣沒有任何回應，但在中午，我太太的FB個人帳號被入侵了。

我太太做了一件跟我不同的事：因為她很快就發現狀況（我是半小時後才發現），她動用了好友（我沒有什麼朋友），到她的個人帳號頁面，按下「協助XXX（帳號名）」→顯示「你為什麼認為（帳號名）需要支援？」，並選擇下方的「遭人盜用」。我太太找了將近一百位好友做這件事……然後呢？她阻止了入侵嗎？

並沒有，她的帳號被拿走了，更糟的是，她連到上述提到的fb/hacked頁面想要上傳證件時，竟然連上傳都無法上傳，頁面會一直要你輸入帳密→在「尋找你的帳號」頁面輸入你的mail位址或手機號碼→回到輸入帳密頁面→無窮迴圈。

至此，龍貓大王通信粉專完全脫離我的掌控了……但是！駭客還是什麼都沒做，它沒有刪文、沒有砍掉粉專、沒有下廣告，我不知道是因為信用卡被解綁無法下廣告還是怎樣……或者，他就真的是因為恨我才這樣做，他只想要讓通信徹底停擺。

◎十一月八日

※13：00

FB沒有回我、夥伴還在幫我聯絡FB……然後我有新狀況。

我收到一些信件，是一些網站的「修改密碼信」，要我按下連結以確認修改密碼。這些信件本身沒有問題，問題是我沒有修改密碼，其中包括了9gag這個我N百年沒去的老站。這個時候，我想起了被駭之前的一個怪事。

我前面提到，我是用Lastpass做密碼管理，Lastpass是用一個主密碼（master password）來管理你所有的帳密，只要你連到自己有在lastpass紀錄帳密的網頁，登入時它就會貼心幫你填入帳密——當然，你必須先以主密登入Lastpass的chrome extension。

在被駭入前的大約數週開始，我在已經登入Lastpass的狀況下，常常過了幾小時，就發現Lastpass被登出了。然後我要再登入一次……我有使用2FA驗證（Lastpass有出自己的2FA app）……然後登入後就能使用。問題是，這種session timeout的狀況真的很頻繁，一天可以好幾次。但是，我覺得我的登入流程很安全，我也只在我的電腦上使用Lastpass（與手機），那應該只是Lastpass自己連線有什麼問題吧？

然後，這一天我突然收到要改密碼的信件——我馬上驚覺，我的Lastpass可能被攻破了……跟FB一樣，有人知道我的主密、而且他能繞過我的2FA，取得我的完整密碼庫，我註冊過的七百多個帳密通通曝光了。

這件事後續我們等到最後再講，但如果Lastpass真的被攻破，那麼，駭客確實能知道我所～～有～～～的服務帳密，包括FB。但是當然，駭客是如何繞過2FA的？仍然不知道，這是整起事件最大的謎……因為你看到這邊，你已經看了好幾次2FA了。我對2FA非常有好感，我在所有能用2FA的情境裡一定會設定2FA，這讓懶得買硬體金鑰的我，感覺安全一點。但是，現在可能有兩個服務的2FA都被某種形式繞過了，WHY？

◎十一月九日

我以為沒有太多人會注意到通信的悲劇，因為我在通信的最後發文，只有一則留言。這也無妨，我反而怕太多留言會導致網友被駭客釘上，導致這些帳號變成下一個被駭的對象。

但是在九日晚上，@瓦力唱片行 竟然為大王通信寫了一篇聲援文。

我真的非常感動，雖然我還欠他一篇書評：他幾個月前的新作《那一夜，莫札特的門有人在敲》十分精彩，聽說銷量長紅，真的不需要大王拙筆推薦。各位朋友請多多參考這本好書。

◎十一月十日

其實昨天今天沒有其他好說的了，透過夥伴的幫助，我的個人帳號復活了，太太的帳號也回來了，我們又重新獲得管理員權限，而且駭客的Dessie帳號也從粉專裡消失了。現在，好像什麼事都沒發生，也許看到這篇文章的你，根本不知道通信發生了這些事。

那麼，在經歷這次的「火之九日間」事件後，我有幾點感想可以分享給你。

1.實名制：

我記得FB現在好像可以不用實名註冊，我不清楚，當年我最早的FB帳號是被實名制搞掉的……但經過這次事件後，我發現如果你註冊的FB帳號不是本名，那FB似乎沒有別的方式證明「你」就是你。那麼，也許實名註冊，至少在你帳號被盜時會有點用？

2.FB的救助帳號機制：

我覺得這整個過程下來，看起來這個機制沒有發揮作用。當然，機制本身應該是有用的，但是，不知道在哪個環節出了狀況。因為你發出了救助需求之後，不會得到任何回應，也不知道現在處理到哪個狀況，而你會陷入一個求助無門的窘況，真正叫天不靈叫地不應。而且，以我太太的例子，她甚至連回報狀況都做不到。我覺得，以被盜帳號、當下六神無主的狀況來說，FB的流程真的只會讓人更灰心。

3.誰能幫我？

就像上面談到我太太被駭的過程，多虧今天我有許多合作夥伴，我的問題才能解決。但是對一般人而言，如果沒有與FB合作的管道或窗口，他們在FB救助機制運作不明的狀況下，要如何獨自處理這些鳥事？我實在難以想像。而這也是我在事件發生第一天時的感想……當時我覺得萬念俱灰……你不能做一個讓用戶會對你萬念俱灰的服務。

4.可能的漏洞

來秋後算賬了，到底我的資訊是如何洩漏的？

第一，我覺得Lastpass有嫌疑，因為他們近年已經被攻破好幾次了，用戶的密碼庫當然被洩漏了。再者，從去年底開始，Lastpass的服務回應速度不是很好，performance也有問題：例如我今天在這個網站點下Lastpass，他顯示的帳密竟然不是這個網站的，這實在感覺很不好……有時甚至不會顯示，我都搞不清楚自己有沒有註冊過帳號了。

所以！我前兩天決定跳槽到 1password。（1password給我業配費）

1password的好處，是它不但有主密，它還有一個「急救檔」做保護……詳情在這邊不說太多（我之後會再介紹1Password，1password快找我業配），不過最棒的是，如果你現在是Lastpass的用戶，轉到1password，它甚至還會按比例退你Lastpass的費用——我剛好這一次Lastpass的年費用了一半，那它就給我一半的Lastpass年費。1password一年也是三十幾塊美金，這幾天用起來，我覺得很不錯。

當然，現在我要把所有Lastpass原本紀錄的帳密資訊，通通更新——我要一個一個服務去改密碼，這是資訊時代的手藝活。

第二，還是2FA。我沒有想法，只能推敲，是我在FB用2FA登入後，FB會問我，要不要「儲存瀏覽器」。我過去都會選擇儲存，這樣下次開FB網頁時，就會直接是登入狀態——我有點懷疑可能是這個cookie被利用了。當然這種想法有點無稽，但我推測的是，駭客不可能拿到我的2FA驗證碼，但他拿到的是「不需要2FA就能直接登入」的某種token。那麼，是在哪裡拿到的呢？在我的PC上嗎？或是我的封包呢？這點不確定——感覺這時候我應該推銷Surfshark……

---

好了，九天的經過就是這樣，最後好像什麼都沒變。我還是把現在的FB帳號加上了新的2FA，我頂多就是換了Lastpass……所以，下一次我會不會再遇到？當然有可能，而且非常有可能。在下一次通信起火之前，謝謝大家，我還能跟諸君在空中相會。

另外，以防這種事件再次發生……

請現在就加入大王電子報、或是推特與IG！