网易昨天下午触碰了大家最为敏感的伤疤——数据泄露,过亿的数据泄露真是吓死宝宝了,这事儿出在网易的邮箱服务上。那到底怎么回事儿呢?
昨天,也就是19号下午,咱们安全圈儿的大咖乌云漏洞平台爆出了网易邮箱的数据泄露问题,用户“路人甲”提交了这份漏洞,用了“某邮箱”的字眼当标题,称“网易163/126邮箱过亿数据泄露(涉及邮箱账号/密码/用户密保等)。其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登录”。不过没过多久消息就被删除了,是谁手快截的图太感谢了,请大家观赏:
事件的一开始,是之前有网友抱怨自己的iCloud账号被黑了,iPhone手机被锁,遭遇敲诈;再有就是部分支付宝的用户惊恐的表示,自己的支付宝无法登录,再登录支付宝账号关联的163/126邮箱发现被人用客户端删光了以前的邮件,对,问题就出在这些出了问题的iCloud、支付宝、微博、淘宝等账号的网易邮箱上,小伙伴们表示都吓坏了。
乌云漏洞平台是最早发现网易邮箱数据泄露问题的方面,乌云平台披露,目前泄露的信息包括用户注名、MD5(一种算法)密码、密码提示问题和答案、注册IP、生日等。据悉,解开后测试大部分邮箱依旧还可登陆。其给出的漏洞描述是:“数据过亿交易证明数据/包含邮箱密码密保信息/登陆ip以及用户生日等,其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。”
对此,网易邮箱昨晚回应说报道不实,网易邮箱不存在自身数据泄露问题,称”网易邮箱数据库不存在被攻击和泄露情况,黑客获得部分用户在其他网站与网易邮箱同名的帐号和密码,并以此帐号和密码来尝试在其他网站的登录,并非网易邮箱数据库泄露”。声明说:“经严密的技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,其他网站的账号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。”
从目前已知的信息分析,此次安全危机或是数据泄露后,黑客“撞库”导致。黑客会通过扫号软件(一种通过自动化程式来验证帐号密码是否正确的黑产软件),进行“撞库”。所谓“撞库”是指黑客通过互联网上已经泄露的帐号名—密码对信息,生成对应的字典表,批量尝试登陆各种网站,获取一些可以登录的用户的权限。
这种扫号软件的价格仅为400元至500元之间。此外,对于泄露的资料也可以通过网络黑市购买,1万个邮箱密码,大约售价800元。因此,只要在这1万个账号中,可以窃取到1200元以上,黑客就可以获得不法收益!
这已经不是“亡羊”了,已经是“亡牛”了!网易的用户们快点儿根据建议改密码!
此次事件中受害的被锁的iPhone用户非常多,打苹果客服电话解决要等4个多小时,但先把能做的做了,就是修改自己的网易密码。
主要看一下乌云平台给出建议。
用户可通过账号登陆网易用户中心,查询近一个月的异常登录。如有异常,需要修改网易邮箱密码,同时开启安全防护功能。此外,还需要修改所有利用网易邮箱注册的互联网服务密码。
另外乌云给出的一个检查办法是,登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,以及异地登陆提醒邮件。如有异常,需尽快修改密码。同时,解除掉所有利用网易注册服务的密码与绑定关系,如淘宝、支付宝、iCloud和QQ等关键服务线,因为目前密码与“保护邮箱”已经没法保护用户了。
乌云平台官微还发文称,“这次密码泄露似乎也没有改密码就能解决这么简单。因为还泄露了用户密码提示问题&答案(hash处理),而且这个数据应该是'撞库'无法获取的,建议大家改密码的同时也将密码提示答案进行更新修改!"
此外,笔者建议未开通网易邮箱双重验证的用户尽快开通双重验证,包括修改邮箱密码。他指出因为找回密码的问题及答案的MD5值也已经泄露,攻击者将可以修改这些信息,而邮箱主人将几乎丧失控制权。由此也将导致邮箱关联的其他服务被盗。
网易方面也提醒广大用户,不建议在互联网上使用同一账号密码分别设置安全级别较低的普通网站和个人邮箱、金融支付等安全需求较高的账号密码体系。避免在普通网站账号信息泄露后,影响高安全需求平台的账号安全。
最后,一了百了的方式是,使用网易邮箱绑定淘宝、支付宝、 苹果 iCloud和QQ等帐号用户网友需要需要马上解除绑定关系。