昨日,白帽子黑客 路人甲 在乌云漏洞平台上提交了一个数据泄密报告,影响数量总共数亿条,泄漏信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等,危害等级为“高”。
乌云就此事 所发的微博 明确指向了网易 163/126 邮箱,但在漏洞页面则显示是“某邮箱”。漏洞状态则为:已交由第三方合作机构(cncert 国家互联网应急中心)处理,厂商回应一栏则显示为“无”。
10 月 17 日周六起,陆续有用户在微博上反映,使用网易邮箱作为 iCloud 账号的 iPhone 被锁定,接着被敲诈,必须给钱才能解锁。
网易邮箱就此事在 微博上 发表了正式声明,宣称此次事件是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码,其他网站的帐号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。
也就是说,网易认为此次网易邮箱用户数据泄漏数据是撞库所致,网易邮箱本身“不存在自身数据泄露问题”。
所谓“撞库攻击”,就是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户。用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”,方便了自己的同时,也方便了黑客。
对于网易的回应,长亭科技 表示 ,通过调查发现互联网已泄露的数十亿数据,在已泄露的网易邮箱数据样本中的覆盖率非常低,泄露的数据只有极低的可能性是通过撞库得到的。
乌云漏洞平台也再次 发布微博称 :
这次密码泄露似乎也没有改密码就能解决这么简单。因为还泄露了用户密码提示问题 & 答案(hash处理),而且这个数据应该是“撞库”无法获取的, 建议大家改密码的同时也将密码提示答案进行更新修改 !