网易邮箱漏洞疑云,乌云漏洞平台建议密码和密码提示答案一并修改
昨日,白帽子黑客路人甲在乌云漏洞平台上提交了一个数据泄密报告,影响数量总共数亿条,泄漏信息包括用户名、MD5 密码、密码提示问题/答案(hash)、注册 IP、生日等,危害等级为 “高”。
乌云就此事所发的微博明确指向了网易 163/126 邮箱,但在漏洞页面则显示是 “某邮箱”。漏洞状态为:已交由第三方合作机构国家互联网应急中心处理。厂商回应一栏则显示为 “无”。
最近微博上陆续有用户反映,使用网易邮箱作为 iCloud 账号的 iPhone 被锁定,接着被敲诈,必须给钱才能解锁。各路消息均指向了网易邮箱自身的安全漏洞。
据微信号 “差评”以及互联网安全公司长亭科技消息,一般来说,泄漏的数据在地下黑产业会经历以下五步:
- 漏洞出现,数据泄露
- 高端黑客间高质量数据的交换买卖
- 撞第三方支付平台密码,游戏洗号,撞其他交易相关类网站
- 第二次数据买卖,诈骗,iCloud 敲诈
- 数据流出
目前正处于 iCloud 敲诈阶段,安全行业业内的人士认为,这批数据可能在半年前就已经泄漏了。
网易邮箱就此事在微博上发表了正式声明,宣称此次事件是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码,其他网站的帐号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。
也就是说,网易认为此次网易邮箱用户数据泄漏数据是 “撞库攻击” 所致,网易邮箱本身 “不存在自身数据泄露问题”。
所谓 “撞库攻击”,就是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户。用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把 “万能钥匙”,方便了自己的同时,也方便了黑客。
对于网易的回应,长亭科技表示,通过调查发现互联网已泄露的数十亿数据,在已泄露的网易邮箱数据样本中的覆盖率非常低,泄露的数据只有极低的可能性是通过撞库得到的。
乌云漏洞平台也再次发布微博称:
这次密码泄露似乎也没有改密码就能解决这么简单。因为还泄露了用户密码提示问题 &答案(hash 处理),而且这个数据应该是 “撞库” 无法获取的,建议大家改密码的同时也将密码提示答案进行更新修改!