月光博客 » 业界动态 » 乌云称网易邮箱过亿数据泄漏

乌云称网易邮箱过亿数据泄漏

10月19日下午,乌云今日宣布发现新漏洞,此漏洞将导致网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等),其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。目前,细节已通知网易,网易方面暂无回应。之前微博有网友爆料网易邮箱被暴力破解,绑定网易邮箱的Apple ID被锁,iPhone数据被清空,包括苹果Apple ID、微博、支付宝、百度云盘、游戏等受影响。对此说法,网易邮箱团队发表官方声明进行了否认。

前不久,有网友抱怨称自己的iCloud帐号被黑,绑定的iPhone手机被锁敲诈等,其共同点是都采用了网易邮箱作为iCloud帐号。如果用户发现网易邮箱有异常登录记录,以及异地登陆的情况,应尽快修改密码。

网易邮箱团队今日也发布声明,称网易邮箱数亿数据泄漏的报道不实,否认泄露问题,并答复为用户密码相同“撞库”所致。网易称本次事件经严密技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码,其他网站的帐号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。

所谓“撞库”就是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站。一旦用户在多处使用同一套密码,只要其中一处被破解就会让其他服务的账户安全受到威胁。

公告全文如下:

今日,谣传网易邮箱出现数据泄露,引起用户恐慌。网易邮箱团队现郑重声明,此报道不实。

网易邮箱拥有国内最高等级,同时也是邮件系统领域唯一的最高级别的安全证书EAL3+,是最值得信赖的账号系统之一。同时,网易邮箱在安全技术领域持续升级,保持在安全技术领域的领先地位,为广大用户邮件系统安全保驾护航。本次事件经严密的技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,其他网站的账号信息泄露,被不法分子利用,侥幸尝试登陆网易邮箱造成。

网易邮箱团队提醒广大用户,在互联网上,不建议在安全级别较低的普通网站使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。避免在普通网站的账号信息泄漏后,影响到您在高安全需求平台的账号安全。

网易邮箱运营18年,产品安全是我们的立足之本,我们也将以只为追求最极致的安全服务而努力。在成长的道路上,我们非常欢迎广大用户给予反馈和建议,网易邮箱团队将认真聆听采纳。但对任何恶意重伤的不实报道,网易公司将保留追究法律责任的权利。

网易邮箱泄漏

网易邮箱泄漏

对于用户来说,应该第一时间登录网易账户,查看最近登录记录是否有异地登录情况,修改邮箱密码为单独密码,不要和其他网站密码相同。如果Apple ID使用网易邮箱,开启Apple ID的两步验证服务。为了防止绑定网易邮箱的Apple ID被锁成砖,建议登录Apple ID网站解绑网易邮箱,方法是:登录 appleid.apple.com ,选择“姓名、ID 与电子邮件位址”。对于其他网站密码,参考月光博客的《个人密码安全策略》一文进行设置。

如果你正在使用网易邮箱的话,应该立即对这件事情进行处理,乌云网给网易用户的建议如下:

1,利用自己的163账号密码,登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登陆记录,当然,这还远远不够,还需要留意异地登陆提醒邮件;

2,如果有异常,那么需要赶紧修改掉网易邮箱密码,并且修改密码 登录邮箱 -> 设置 -> 邮箱密码修改,同时开启网友邮箱的安全防护功能 登陆邮箱 -> 设置 -> 邮箱安全设置 -> 登陆二次验证/安全锁/自动转发提醒;(更新:经过我的测试,网易邮箱的两步验证存在重大缺陷,开启两步验证后,使用邮箱客户端依然可以无需验证码直接收发邮件,这就使得两步验证形同虚设。)

3,最后,也是最重要的!!修改掉所有利用网易注册服务的密码与绑定关系,如:淘宝、支付宝、iCloud、QQ等你的关键服务线,因为目前密码与“保护邮箱”已经没法保护你了。

我觉得,对于电子邮件系统来说,不支持两步验证的电子邮件系统都是不安全的系统。用户应该选择使用安全的邮件系统,首选谷歌Gmail,开通Gmail两步验证后,其安全性值得信赖,除了Gmail以外,微软Outlook(Hotmail)也是一个不错的选择,这邮箱也支持两步验证,并且服务器在国外,隐私可以得到保证,只要用户不打算对美国进行恐怖袭击,基本上该邮箱不会遭到他人的监控。

乌云称网易邮箱过亿数据泄漏

顶一下 ▲()   踩一下 ▼()

相关文章

发表留言