月光博客 » 业界动态 » 乌云称网易邮箱过亿数据泄漏

乌云称网易邮箱过亿数据泄漏

  10月19日下午,乌云今日宣布发现新漏洞,此漏洞将导致网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等),其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。目前,细节已通知网易,网易方面暂无回应。之前微博有网友爆料网易邮箱被暴力破解,绑定网易邮箱的Apple ID被锁,iPhone数据被清空,包括苹果Apple ID、微博、支付宝、百度云盘、游戏等受影响。对此说法,网易邮箱团队发表官方声明进行了否认。

  前不久,有网友抱怨称自己的iCloud帐号被黑,绑定的iPhone手机被锁敲诈等,其共同点是都采用了网易邮箱作为iCloud帐号。如果用户发现网易邮箱有异常登录记录,以及异地登陆的情况,应尽快修改密码。

  网易邮箱团队今日也发布声明,称网易邮箱数亿数据泄漏的报道不实,否认泄露问题,并答复为用户密码相同“撞库”所致。网易称本次事件经严密技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码,其他网站的帐号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。

  所谓“撞库”就是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站。一旦用户在多处使用同一套密码,只要其中一处被破解就会让其他服务的账户安全受到威胁。

  公告全文如下:

  今日,谣传网易邮箱出现数据泄露,引起用户恐慌。网易邮箱团队现郑重声明,此报道不实。

  网易邮箱拥有国内最高等级,同时也是邮件系统领域唯一的最高级别的安全证书EAL3+,是最值得信赖的账号系统之一。同时,网易邮箱在安全技术领域持续升级,保持在安全技术领域的领先地位,为广大用户邮件系统安全保驾护航。本次事件经严密的技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,其他网站的账号信息泄露,被不法分子利用,侥幸尝试登陆网易邮箱造成。

  网易邮箱团队提醒广大用户,在互联网上,不建议在安全级别较低的普通网站使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。避免在普通网站的账号信息泄漏后,影响到您在高安全需求平台的账号安全。

  网易邮箱运营18年,产品安全是我们的立足之本,我们也将以只为追求最极致的安全服务而努力。在成长的道路上,我们非常欢迎广大用户给予反馈和建议,网易邮箱团队将认真聆听采纳。但对任何恶意重伤的不实报道,网易公司将保留追究法律责任的权利。

网易邮箱泄漏

网易邮箱泄漏

  对于用户来说,应该第一时间登录网易账户,查看最近登录记录是否有异地登录情况,修改邮箱密码为单独密码,不要和其他网站密码相同。如果Apple ID使用网易邮箱,开启Apple ID的两步验证服务。为了防止绑定网易邮箱的Apple ID被锁成砖,建议登录Apple ID网站解绑网易邮箱,方法是:登录 appleid.apple.com ,选择“姓名、ID 与电子邮件位址”。对于其他网站密码,参考月光博客的《个人密码安全策略》一文进行设置。

  如果你正在使用网易邮箱的话,应该立即对这件事情进行处理,乌云网给网易用户的建议如下:

  1,利用自己的163账号密码,登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登陆记录,当然,这还远远不够,还需要留意异地登陆提醒邮件;

  2,如果有异常,那么需要赶紧修改掉网易邮箱密码,并且修改密码 登录邮箱 -> 设置 -> 邮箱密码修改,同时开启网友邮箱的安全防护功能 登陆邮箱 -> 设置 -> 邮箱安全设置 -> 登陆二次验证/安全锁/自动转发提醒;(更新:经过我的测试,网易邮箱的两步验证存在重大缺陷,开启两步验证后,使用邮箱客户端依然可以无需验证码直接收发邮件,这就使得两步验证形同虚设。)

  3,最后,也是最重要的!!修改掉所有利用网易注册服务的密码与绑定关系,如:淘宝、支付宝、iCloud、QQ等你的关键服务线,因为目前密码与“保护邮箱”已经没法保护你了。

  我觉得,对于电子邮件系统来说,不支持两步验证的电子邮件系统都是不安全的系统。用户应该选择使用安全的邮件系统,首选谷歌Gmail,开通Gmail两步验证后,其安全性值得信赖,除了Gmail以外,微软Outlook(Hotmail)也是一个不错的选择,这邮箱也支持两步验证,并且服务器在国外,隐私可以得到保证,只要用户不打算对美国进行恐怖袭击,基本上该邮箱不会遭到他人的监控。

乌云称网易邮箱过亿数据泄漏

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    小王子FCPowerUP   说道:
    其实网易的主要业务是养猪
    支持(12反对(2回复
  1. 2
    frank   说道:
    我其中一个绑定支付宝的网易邮箱去年曾经发现被多处登录,但我的邮箱帐号多年来只在我自己的电脑登录过,而且密码是独立密码,设置得也比较复杂,所以怀疑可能是网易的问题
    sdas12 于 2015/10/20 11:12:41 回复
    网易的游戏导致他的邮箱很容易泄漏
    支持(6反对(1回复
  1. 3
    圣经香烟   说道:
    MD5可以逆向了?
    M 于 2015/10/20 14:27:06 回复
    彩虹表嘛,现成的,用不着自己跑
    支持(5反对(0回复
  1. 4
    达叔是一种沧桑   说道:
    没事,反正我网易的邮箱就是充当垃圾邮箱的作用。
    支持(6反对(1回复
  1. 5
    奋斗青年Oocck   说道:
    网易真心烂,Xcode ghost 也有它的份
    支持(6反对(1回复
  1. 6
    卖柴火的小师傅   说道:
    什么时候回归gmail ?
    支持(6反对(2回复
  1. 7
    singny   说道:
    我的微博用网易邮箱注册的,密码与网易邮箱不同也被盗了,昨天才找回。公告说用相同密码云云,明显就不对。
    支持(5反对(1回复
  1. 8
    白兔君在路上   说道:
    大概两三年前我的网易账号密码就泄露了我会乱说么
    支持(4反对(1回复
  1. 9
    顾伶磊   说道:
    怪不得近期发生了大量使用163邮箱作为APPLE ID导致ID被盗机器被锁的事件
    支持(3反对(0回复
  1. 10
    果冻   说道:
    赶紧改密码.墙内的邮箱太容易出事了
    支持(4反对(1回复

发表留言