簡言之,我的帳號高機率是被盜了一次,我不知道對方的目的,不管是為了好玩還是想偷窺後台數據,方格子的處理方式都令人詬病。
事發經過
1/22 凌晨時分,駭客很輕鬆地在我仍活躍於線上的時段摸進系統,拿著我的帳號發了篇「我自己也看不懂、還包含我本身不會打的特殊符號」的貼文。
注意文中包含圓周率的符號,這個符號我不知道輸入方法,夢遊間輸入的機會又更低了
https://vocus.cc/post/6971032cfd89780001d66d74
很小的概率是我人格分裂,自己忘記自己發過文,但已初步透過檢查該時間段的裝置、瀏覽器、筆記軟體版本、AI 對話、方格互動歷程後排除。
所以我先以資安通報的方式,事發當下 1/22 凌晨就去信官方反應這件事了。
至於我排除我人格分裂或夢遊,自己打下那篇文的方式如下:
我不會打圓周率符號,所以我有上網查這個符號來複製貼上嗎?
沒有,該時段手機和電腦的所有瀏覽器都沒有相關紀錄,該時段只有我正經在查資料跟聽音樂的紀錄。
也不是我開了 AI Agent 忘記關,Agent 只在我做實驗時才會開,我也檢查過 Comet 瀏覽器的操作紀錄了。
我有跟 AI 討論到相關話題,讓我可以複製貼上這段文字嗎?
沒有,我把每個 AI 都打開來看過,完全沒有相關紀錄。
我那段時間有沒有其他操作,是明確有留下紀錄的?
有,我前後在跟格友蹲守、討論方格知名AI 用戶的行為模式和 bug,間或用我的筆記軟體寫幾段小說、上網查資料、對話 AI,都有紀錄,本人沒斷片。
如果硬要說方格子的時間戳只顯示到小時,難以做準,那是方格子的問題,不是我的問題;
至於我要不要曬出我的使用記錄自證,那是我的隱私,而方格子後來的行為顯然沒在尊重用戶個資,故我不會提供。
我的裝置配置和本身資安保護措施
後續和專業人士 @移幣 討論,我再進一步排除我自己洩露帳密、裝置控管的問題:
本帳號是綁 Google 登入,Google 帳號未洩露
我的 Google 帳戶有雙重驗證,也有陌生裝置登入提醒,攻入難度相對高。
經檢查,Google 帳戶沒事,駭客不是從這裡摸進來的。
至於後續方格官方不斷提醒我改方格子密碼,這件事其實挺妙,我已忘記自己為何另外設過方格密碼?
因為這個帳號很新,2025 年 9 月時才開通,當時已能直接綁 Google 帳號,我是吃飽太閒,才會再額外設定一個方格密碼?
所以這個密碼應該是:系統的某個機制要求我設置,不設不給過,漏洞非常有可能出在這個方格密碼上。現在無論當時設置的原因是啥,已直接用隨機高強度密碼堵住。
但我好奇,方格也有額外做過電話驗證,如果是用方格自己的帳密登入,居然不用電話驗證嗎?
是否有在公共電腦登入此帳號然後忘記登出,或裝置被家人誤用?
不可能,因為低光文本的 Google 帳號是特別開創的小帳,我只有三台裝置登入過這個帳號,一台是手機,一台是筆電,一台是電腦,三台裝置都在我旁邊,沒有家人誤用的可能。
我和移幣的討論內容可見此篇下方留言區:
https://vocus.cc/article/69711df8fd89780001dbf03f
讓人更失望,甚至恐懼的,是後續方格子的反應
事發超過一天後,方格仍未回應我帳號的「登入IP是否異常」,只請我「改密碼+持續關注自己的帳號有無異常」。
第一時間回模版信可以理解,但過了半個工作天才回就比較難以理解,畢竟我標題有加註「嚴重資安問題」,可見信件分揀上沒有意識到問題
所以我又發了一封信,信中明確提醒比對登入IP,並詢問為何我一個綁Google帳號的人要改方格子密碼?不過我還真的去看了一下,原來我另有一個不知何時設置的「方格子密碼」。
結果官方再次回了一封有講等於沒講的信。考慮正常企業夜間不上班,頂多留幾人值守,可能負責查的工程師下班了。
所以我等到第二天下午,再次去信詢問。 結果回給我下面這種東西:
這次不是回信,是公開留言回覆。「近幾日」+「城市名」雖是模糊個資,走在法律邊緣,但這是正常的客服倫理嗎?
1/23 下午,方格子官方帳號在該篇下方留言中,公開公布我近幾日的所在城市。雖為模糊個資,不過這種不以信件、而是以公開方式提出的做法,還是幫本篇上一些個資相關的 tag 好了,介意者可以防雷。
然後客服信箱姍姍來遲發了這封信給我,裡面又是有講等於沒講的資訊。有沒有意識到,您們的小編公開寫了啥?
然後我當然還是再寄一封信去問,但昨天(1/23)寄出後,至本篇發出時(1/24上午),仍未收到任何回應。
這篇發出後,1/24下午終於收到客服信箱回信,官方小編也才終於修正那篇留言。那既然我在這邊發文比私信客服有用,之後我還是都公開發文好了?
此外,官方小編跟客服信箱的發文者,兩人有沒有好好溝通過?只感覺到我回留言的語氣不滿,就又寄一封信來,但該改正跟公開道歉的事(保護用戶個資與客服倫理)沒做,信中反而不提出 IP 所在城市協助我核對,這是什麼邏輯?事主私下問你幾遍你都不講,但是又可以公開發出來?
同時,1/22 晚間也有發垃圾廣告的帳號摸到我其他貼文下留言,看到我在其他文章下用留言通報後,又迅速刪除。這還是第一次發生這種事。
這是巧合嗎?是有誰在盯著我的帳號,或是方格系統已經被惡意用戶玩轉?如果是後者,表示寄生方格子做詐騙或其他不法交易,會否已經是門好生意?
方格輕忽通報的歷程和反應方式匪夷所思,實在不像員工人數四十人的中型企業,系統還有金流介接。各位若要持續使用這個平台,不妨好好考慮一下,感謝耐心收看至此。
-------
這篇發出後,終於收到客服信箱回信,官方小編也才終於修正那篇留言。那既然我在這邊發文比私信客服有用,之後我還是都公開發文好了?
誠懇的道歉不是只在私下,公開做錯事就公開致歉吧。
-------
2026/01/26 12:09 看來讓方格子團隊公開致歉及說明目前的資安漏洞是很難了,進度停在昨天13:42的客服email。
