在刚刚,网易邮箱官方微博@网易免费邮箱发出一条置顶的辟谣微博:
同时也贴出长微博解释数据泄露一事:
————————————我是华丽的更新分割线——————————————
昨日(10月18日)开始,有不少网友在微博上反映称网易邮箱内容遭到泄露,虎嗅也在第一时间跟进了报道,文章中提到:
除了邮箱之外,包括苹果Apple ID、微博、支付宝、百度云盘、游戏等均遭到泄露。有不少iPhone手机用户表示,自己使用网易邮箱绑定Apple ID的手机已经被锁,并被擦除数据。对此有苹果用户进行了求证,表示该问题最早集中出现在了10月15日,被波及的用户全部使用的是网易邮箱。
这一问题爆发之后,网易也及时作出了回应,称经网易邮箱团队排查,网络谣传并不属实。网易表示,网易邮箱数据库不存在被攻击和泄露情况,同名账户被攻击和网易邮箱数据库无关。至于部分网站发给用户的密码重置邮件,网易称已经采取了各种安全保障措施,升级了风控策略,并提醒用户不要在不同网站使用相同的网易邮箱账号和密码。
但就在今天(10月19日)下午,网易就成功被乌云打脸——乌云宣布发现网易新漏洞。网易用户数据库疑似泄露,影响数量总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等)。
乌云建议用户登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,以及异地登陆提醒邮件。如有异常,需尽快修改密码,改密码的同时也将密码提示答案进行更新修改,同时开启邮箱的安全防护功能。
另外,使用网易邮箱绑定淘宝、支付宝、苹果iCloud和QQ等帐号用户,需要马上解除绑定关系,因为目前,密码与保护邮箱已经没法保护你了。
截止到发稿前,网易方面暂无回应。
国产产品是否安全存疑,那我们要怎么办?
网络安全问题是老生常谈,但始终没有得到国民的普遍重视,之前虎嗅上也有一文是在谈网络安全问题的重要性。在这次“网易邮箱信息泄露”一事爆发之后,有很多网友给出了一些猜测性原因与建设性解决方案。我搬运了一些网友的机智回答,希望大家吸取自己觉得有用的。
知乎网友Tristone认为,针对网络安全问题,我们应该这样做:
1.不同账号使用不同的密码,可按照自定义的组合进行设置,如“强密码+站点名”这种组合方式,强度高又好记,同时可配合lastpass使用。
2.账号安全性分等级,重要账号使用高等级密码,一般的账号使用稍微简单的密码方便输入。
3.开启两步验证,如Gmail、Apple均有此项设置。
4.尽量使用国外大公司的产品和服务,能用Gmail就不要用网易邮箱,能用Dropbox就别选百度网盘。
说得很好,但可能首先你要知道怎么在墙内使用Gmail和Dropbox...
另一网友李如其的建议是这样的:
1.不要被网站一勾引就卖掉自己的邮箱、姓名,甚至电话去注册;要求身份证实名认证的更要提高警惕。
2.尽量不同网站用不同的密码。我自己的做法是,账号不重要的网站,用网站域名做密码。
3.在一个可靠的地方集中存储一份密码列表,比如使用 1Password、LastPass 等工具;苹果的 Safari 密码存储在 keychain,可以多设备同步,Chrome 浏览器也有同步记住密码功能。
4.临时体验、使用登录后的功能的网站,尽量去买账号,或者找公共账号。
置于这次网易信息泄露的原因,很多网友不认同“撞库”说,有微博网友、前网易员工@简悦云风发微表示了自己对于网易不争气的痛心疾首,也可以看出国内现在从普通小白到专业技术人员普遍都存在网络安全意识空白的问题:
貌似也剧透了一些网易实时的问题处理细节呢...
另外,知乎网友慕容行者认为原因可能有两个:
1、早期明文密码泄漏:类似csdn
2、网易云音乐产品问题:可能是自动登录或者明文传输密码被嗅探,类似知乎(没错,知乎是明文传密码的)
最后贴下乌云的官方建议,唔大家要重视起来啊。