乌云给网易确诊了:网易邮箱现漏洞,有过亿数据泄漏
昨日(10月18日)开始,有不少网友在微博上反映称网易邮箱内容遭到泄露,虎嗅也在第一时间 跟进了报道 ,文章中提到:
除了邮箱之外,包括苹果Apple ID、微博、支付宝、百度云盘、游戏等均遭到泄露。有不少iPhone手机用户表示,自己使用网易邮箱绑定Apple ID的手机已经被锁,并被擦除数据。对此有苹果用户进行了求证,表示该问题最早集中出现在了10月15日,被波及的用户全部使用的是网易邮箱。
这一问题爆发之后,网易也及时作出了回应,称经网易邮箱团队排查,网络谣传并不属实。网易表示,网易邮箱数据库不存在被攻击和泄露情况,同名账户被攻击和网易邮箱数据库无关。至于部分网站发给用户的密码重置邮件,网易称已经采取了各种安全保障措施,升级了风控策略,并提醒用户不要在不同网站使用相同的网易邮箱账号和密码。
但就在今天 (10月19日) 下午,网易就成功被乌云打脸—— 乌云宣布发现网易新漏洞 。 网易用户数据库疑似泄露,影响数量总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。 网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等)。
乌云
建议用户登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,以及异地登陆提醒邮件。如有异常,需尽快修改密码,同时开启邮箱的安全防护功能。
另外, 使用网易邮箱绑定淘宝、支付宝、苹果iCloud和QQ等帐号用户,需要马上解除绑定关系 ,因为目前,密码与保护邮箱已经没法保护你了。
截止到发稿前,网易方面暂无回应。
国产产品是否安全存疑,那我们要怎么办?
网络安全问题是老生常谈,但始终没有得到国民的普遍重视,之前虎嗅上也有一文是在 谈网络安全问题的重要性 。在这次“网易邮箱信息泄露”一事爆发之后,有很多网友给出了一些猜测性原因与建设性解决方案。我搬运了一些知乎网友的机智回答,希望大家吸取自己觉得有用的。
知乎网友Tristone认为,针对网络安全问题,我们应该这样做:
1.不同账号使用不同的密码,可按照自定义的组合进行设置,如“强密码+站点名”这种组合方式,强度高又好记,同时可配合lastpass使用。
2.账号安全性分等级,重要账号使用高等级密码,一般的账号使用稍微简单的密码方便输入。
3.开启两步验证,如Gmail、Apple均有此项设置。
4.尽量使用国外大公司的产品和服务,能用Gmail就不要用网易邮箱,能用Dropbox就别选百度网盘。
说得很好,但可能首先你要知道怎么在墙内使用Gmail和Dropbox...
另一网友李如其的建议是这样的:
1.不要被网站一勾引就卖掉自己的邮箱、姓名,甚至电话去注册;要求身份证实名认证的更要提高警惕。
2.尽量不同网站用不同的密码。我自己的做法是,账号不重要的网站,用网站域名做密码。
3.在一个可靠的地方集中存储一份密码列表,比如使用 1Password、LastPass 等工具;苹果的 Safari 密码存储在 keychain,可以多设备同步,Chrome 浏览器也有同步记住密码功能。
4.临时体验、使用登录后的功能的网站,尽量去买账号,或者找公共账号。
置于这次网易信息泄露的原因,很多网友不认同“撞库”说,其中网友慕容行者认为原因可能有两个:
1、早期明文密码泄漏:类似csdn
2、网易云音乐产品问题:可能是自动登录或者明文传输密码被嗅探,类似知乎(没错,知乎是明文传密码的)
最后贴下
乌云的官方建议
,唔大家要重视起来啊。