从乌云言之凿凿的报告和网友的如潮控诉来看,网易邮箱信息泄露,似乎已经被坐实。
然而,对于数据泄露的方式,网易和乌云存在着一定的分歧。那么,乌云在说什么,网易又在说什么呢?我们可以简单梳理一下。
1、10月中旬开始,不断在微博爆出iPhone被锁、用网易邮箱注册的iCloud服务出现异常等等事件。
2、10月18日,网易公开回应,称自身安全不存在问题,泄露是由于用户用与网易邮箱相同的资料在其他网站注册,而其他网站的资料泄露所致。
3、10月19日乌云发布报告,称发现网易存在漏洞,可能导致5亿用户数据泄露。(详见文章:乌云发现网易邮箱漏洞,过亿用户数据泄漏)
不难看出,网易坚持认为自己的安全防护不存在问题,而乌云提交的这个漏洞,恰恰证明了网易的安全存在问题。二者的分歧在于,网易认为此次事件是撞库,而乌云质疑,此次事件是“疑似拖库”。
下面是科普时间:
社工库:运用非技术攻克方式采集大数据,所得到的有关个人社会关系、手机号码、行为记录、常用密码等一系列结构化的数据库。
撞库: 黑客手头掌握社工库,用其中包含的信息去测试目标网站。例如黑客掌握一些百度账户的用户名和密码,并拿着这些信息去测试网易账户,这种行为是撞库。
拖库:黑客掌握某网站的高危漏洞,并且利用漏洞将用户信息完整盗取出来。
某知名公司安全工程师表示:“圈内有一则传言:网易有个API接口没有任何限制,被黑客爆破已经4年多了。”该安全工程师直言:“网易的问题在于基础安全没有做好。”
网易邮箱泄露有可能引发的连锁反应
另有业内人士表示:由于网易用户众多,很多人选用网易邮箱和密码进行关联注册。所以撞库的可能性并不能排除,而近期和网易账号相关的用户被集中侵害,一定有特定的缘由。如果被证实发生被拖库,对于网易来说将是一次性质非常严重的事件。
微博上用户吐槽支付宝被异地登陆
对于用户来说,关键的一点是,如果此事为真,那么你的网易邮箱已不再安全,所以所有和网易邮箱相关的密码也不再安全。作为普通的用户,必须采取一些紧急的措施了。
乌云官方给出一些建议:
1、利用自己的163账号密码,登录 reg.163.com 用户中心,在风险提示处查询近一个月的异常登录记录,当然这还远远不够;
2、如果有异常,那么需要赶紧修改掉网易邮箱密码,并且修改密码 登录邮箱 -> 设置 -> 邮箱密码修改,同时开启网易邮箱自己的安全限制;
3、最后,也是最重要的!!修改掉所有利用网易注册服务的密码与绑定关系,如:淘宝、支付宝、iCloud、QQ等你的关键服务线,因为目前密码与“保护邮箱”已经没法保护你了。
另外,青藤云安全也给出一些操作建议:
1、尽快更新所有密码,并保证以后密码定期更新。
2、邮箱等重要信息启动双因素认证。(如QQ邮箱启动密码验证之后,还需要手机扫描二维码才能登录)
3、很多人的个人密码经常有统一的规则,例如生日+拼音首先字母+网站拼音首先字母,强烈建议在工作邮箱等密码不要和个人密码有任何规则关联。