本文作者家中一台作为软路由的Mac mini，因设置了简单密码（1234）并开启了路由器端口转发，导致其电脑被非法远程控制。攻击者不仅尝试修改密码、盗用土区App Store账号开通Telegram会员，还可能访问了作者的iCloud、相册（包含大量个人照片视频及信用卡信息）、短信和密码存储器等敏感数据，造成了至少一个月的隐私泄露风险。作者通过浏览器记录发现攻击者曾登录数字货币钱包、交易所、亚马逊和PayPal等平台，所幸未造成重大经济损失，仅为Telegram会员支付了94里拉。此次事件暴露了使用弱密码和随意暴露内网端口的严重安全隐患，作者以此案例警示用户加强网络安全意识。

💻 **安全漏洞：Mac mini成攻击目标，暴露弱密码与端口转发风险** 作者的Mac mini作为软路由24小时运行，因将其5900端口通过路由器端口转发暴露至公网，且设置了极其简单的密码“1234”，成为不法分子的攻击目标。攻击者利用这一漏洞，实现了对电脑的远程控制，并表现出明显的恶意行为，例如尝试修改账户密码和盗用账号服务。

📧 **异常现象频发：从显示器自动点亮到系统语言被篡改** 在被完全控制前，作者的Mac mini已出现多项异常迹象，包括显示器频繁半夜自动点亮、收到尝试修改谷歌和Telegram密码的邮件，以及系统语言自动变为英文。这些现象在当时被误认为是macOS测试版系统的bug，但事后看来，这些都是电脑已被远程入侵的早期预警信号。

💸 **经济损失虽小，隐私泄露风险巨大** 虽然此次事件造成的直接经济损失仅为盗用土区App Store账号支付的一个月Telegram会员费用（94里拉），但潜在的隐私泄露风险更为严重。攻击者不仅访问了数字货币钱包、交易所、亚马逊和PayPal等账户，更重要的是，他们可能同步并访问了包含大量个人照片、视频、信用卡信息、短信和密码存储器的iCloud账户，这些数据已在外网暴露至少一个月。

⚠️ **警钟长鸣：引以为戒，加强网络安全意识** 作者通过此次惨痛的经历，郑重提醒广大用户，切勿为设备设置简单易猜的密码，尤其要避免将内网端口随意暴露在公网上。加强网络安全意识，定期检查账户登录记录和异常活动，是保护个人信息和财产安全的关键。

背景：
家里有台 Macmini 当软路由 24 小时开机，连着显示器，1 分钟自动休眠。
出现异常：1.最近显示器老是半夜自己点亮一开始没当回事
2.这几天老是有邮件尝试改谷歌密码电报密码，看了一下登录记录也没当回事。
3.系统老是自动变英文，我还以为是 macOS26 beta 的 bug
4.直到今天上午，我使用电脑的时候，眼睁睁看着有人和我抢鼠标并且屏幕有提示，这才注意到电脑被人远程控制了。




原因：一开始想着省事，家里宽带有动态公网 ip ，把 mac 的 5900 端口配合路由器端口转发放在了公网上，mac 的密码一开始为了方便随便设置了 1234.

发现之后，第一时间把网线，开始找线索。
最后一个操作我电脑那个人还加了我的 telegram ，说他是在一个网站上看到的我的电脑屏幕共享。
也是这个人试图重置我的密码，还用我的已经登录了 appstore 的土区账号给他的 telegram 开了一个月会员（我账户余额只能够开一个月的）

我看了一下这个网站，依然有很多电脑在裸奔，密码都是 123456 这种，为了隐私和安全，我给打码了不要问我网址是什么。


最后复盘：金钱损失就是上面说的一个月会员 94 土耳其里拉。其他没有大损失。
不过看浏览器的记录，最早可以看到 1 个月前的记录，登录了一下数字货币钱包和交易所、亚马逊、paypal ，好在没有什么价值，也没绑卡。






比较后怕的是，这电脑登了我的大号 icloud ，相册、NAS,(大概有 10w 张照片和视频)、短信、备忘录密码存储器，都是实时同步的，在外网裸奔了至少一个月，不知道隐私泄露了多少，相册里甚至有我所有的信用卡正反面，我所有的短信都是同步的。

最后希望大家引以为戒，不要给电脑设置简单密码，更不要把自己内网的端口随便放在公网上。