乌云给网易确诊了:网易邮箱现漏洞,有过亿数据泄漏

虎嗅网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

昨日(10月18日)开始,有不少网友在微博上反映称网易邮箱内容遭到泄露,虎嗅也在第一时间 跟进了报道 ,文章中提到:


除了邮箱之外,包括苹果Apple ID、微博、支付宝百度云盘、游戏等均遭到泄露。有不少iPhone手机用户表示,自己使用网易邮箱绑定Apple ID的手机已经被锁,并被擦除数据。对此有苹果用户进行了求证,表示该问题最早集中出现在了10月15日,被波及的用户全部使用的是网易邮箱。

这一问题爆发之后,网易也及时作出了回应,称经网易邮箱团队排查,网络谣传并不属实。网易表示,网易邮箱数据库不存在被攻击和泄露情况,同名账户被攻击和网易邮箱数据库无关。至于部分网站发给用户的密码重置邮件,网易称已经采取了各种安全保障措施,升级了风控策略,并提醒用户不要在不同网站使用相同的网易邮箱账号和密码。


但就在今天 (10月19日) 下午,网易就成功被乌云打脸—— 乌云宣布发现网易新漏洞 。 网易用户数据库疑似泄露,影响数量总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。 网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等)。


网易.png QQ20151019-0@2x.png

乌云 建议用户登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,以及异地登陆提醒邮件。如有异常,需尽快修改密码,同时开启邮箱的安全防护功能。

另外, 使用网易邮箱绑定淘宝、支付宝、苹果iCloud和QQ等帐号用户,需要马上解除绑定关系 ,因为目前,密码与保护邮箱已经没法保护你了。

截止到发稿前,网易方面暂无回应。


国产产品是否安全存疑,那我们要怎么办?


网络安全问题是老生常谈,但始终没有得到国民的普遍重视,之前虎嗅上也有一文是在 谈网络安全问题的重要性 。在这次“网易邮箱信息泄露”一事爆发之后,有很多网友给出了一些猜测性原因与建设性解决方案。我搬运了一些知乎网友的机智回答,希望大家吸取自己觉得有用的。


知乎网友Tristone认为,针对网络安全问题,我们应该这样做:


1.不同账号使用不同的密码,可按照自定义的组合进行设置,如“强密码+站点名”这种组合方式,强度高又好记,同时可配合lastpass使用。

2.账号安全性分等级,重要账号使用高等级密码,一般的账号使用稍微简单的密码方便输入。

3.开启两步验证,如Gmail、Apple均有此项设置。

4.尽量使用国外大公司的产品和服务,能用Gmail就不要用网易邮箱,能用Dropbox就别选百度网盘。


说得很好,但可能首先你要知道怎么在墙内使用Gmail和Dropbox...


另一网友李如其的建议是这样的:


1.不要被网站一勾引就卖掉自己的邮箱、姓名,甚至电话去注册;要求身份证实名认证的更要提高警惕。

2.尽量不同网站用不同的密码。我自己的做法是,账号不重要的网站,用网站域名做密码。

3.在一个可靠的地方集中存储一份密码列表,比如使用 1Password、LastPass 等工具;苹果的 Safari 密码存储在 keychain,可以多设备同步,Chrome 浏览器也有同步记住密码功能。

4.临时体验、使用登录后的功能的网站,尽量去买账号,或者找公共账号。


置于这次网易信息泄露的原因,很多网友不认同“撞库”说,其中网友慕容行者认为原因可能有两个:


1、早期明文密码泄漏:类似csdn

2、网易云音乐产品问题:可能是自动登录或者明文传输密码被嗅探,类似知乎(没错,知乎是明文传密码的)


最后贴下 乌云的官方建议 ,唔大家要重视起来啊。


乌云111_meitu_6.jpg


本文被转载3次

首发媒体 虎嗅网 | 转发媒体

随意打赏

提交建议
微信扫一扫,分享给好友吧。