如果你花 15 块钱“白嫖”了 Gemini 会员，请立刻这样自救

type

Post

status

Published

date

May 26, 2026

slug

save-my-google-account-after-hack-gemini

summary

教程里让你复制的那串 32 位明文字符串（通常是在点击“无法扫描二维码”时出现的），是 TOTP 算法的底层种子（Seed）。

一旦这个种子进了黑产的数据库，他们的后台服务器在未来的任意时间，都能算出一模一样的 6 位数动态验证码。即使你改了密码，黑产只要触发“忘记密码”或者通过缓存会话登录，利用这个持续有效的动态码，依然能像进自己家门一样静默登录你的账号。

更要命的是，黑产为了省成本，会用完全相同的伪造指纹和机房 IP 段，帮成百上千人批量代刷。在谷歌的风控聚类分析里，这叫“欺诈设备聚类”。一旦触发收网，涉事账号一律全局封死，无法申诉。

你现在要做的，是赶在谷歌风控触发之前，彻底切断黑产的持久化后门，并将账号伪装成正常的“二手买家行为”。

光改密码不管用，你必须强行在谷歌服务器端注销掉那个已经被记录的种子。

注：只有重新生成，你在黑产那里的后门才算真正关上。

虽然关了后门，但黑产登录过你的账号，他们的服务器上可能还缓存着你的 Session Token（活跃会话）。

仔细辨认列表里的设备。你会看到你自己的电脑、手机，以及一个非常刺眼的、不属于你的 Pixel 10 或者是某个来自特定机房（比如香港、美国代理）的 Android 设备。

完成前两步后，再来做常规的安全收尾：

如果你在之前的搞机过程中，为了让某些第三方客户端使用谷歌服务而生成过 “应用专用密码” (App passwords)，请在安全性页面里把它们全部删除，重新生成。

福利大概率还会留着。

因为谷歌的福利发放逻辑是：在触发激活的一瞬间，后端已经把 12 个月的授权令牌（Token）绑定到了你的账户账单（Subscription）里。你现在过河拆桥、卸磨杀驴地把登录设备踢掉并重置 2FA，并不会导致已经生效的订阅被立刻取消。

相反，从风控的角度来看，你的行为链路从“黑产批量代刷”变成了：“用户在某台 Pixel 10 上登录并激活了福利 -> 随后该用户改了密码、重置了安全设置并踢掉了这台设备”。

这在策略上更符合一个“购买了二手 Pixel 10 的真实用户，因为担心前号主残留信息，从而登录后立刻重置安全设置”的正常人行为逻辑。这能最大程度地帮你洗白账号特征，规避接下来的风控聚类封号。

花 15 块钱去薅羊毛不是什么死罪，但把底裤留在黑产的服务器里，那就是在拿自己多年的数字资产在赌博。折腾完了，就赶紧去把后门关上。

airouter.me