关于网易邮箱密码泄露,别着急,咱们要先搞清楚三个问题。
这三个问题是:
1、拖库还是撞库?
2、责任在于谁?
3、我该怎么办?
想搞清这三个问题,请继续阅读:
拖库还是撞库,乌云与网易各执一词
1、乌云首发:网易邮箱疑遭“拖库”
19日下午13:57,乌云漏洞平台用户“路人甲”发布信息,“网易163/126邮箱过亿数据泄露(涉及邮箱账号/密码/用户密保等)”,并且漏洞的危害等级为“高”,状态为等厂商处理。
到了下午16:40,“路人甲”隐去了网易的名号,将漏洞名称改为“某邮箱”,而且漏洞状态改为,“已交由第三方合作机构(cncert国家互联网应急中心)处理”。
按照网络安全界的说法,这等于网易邮箱被“拖库”,是指网站遭到入侵后,黑客窃取了数据库。
2、网易回应:不是“拖库”是“撞库”
在18日下午和19日下午,网易邮箱官方两次发布公告回应。在网易邮箱的回应中,否认了被拖库,而认为是被撞库而已,即其他网站的数据泄露导致用户的网易邮箱信息间接泄露。
18日下午的公告表示“网易邮箱数据库不存在被攻击和泄露情况,黑客获得部分用户在其他网站与网易邮箱同名的账号和密码,并以此账号和密码来尝试在其他网站的登陆,并非网易邮箱数据库泄露。”
19日下午的公告再次表示,“此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,其他网站的账号信息泄露,被不法分子利用,侥幸尝试登陆网易邮箱造成。”
同时,网易邮箱还表示,“不建议在安全级别较低的普通网站使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。避免在普通网站的账号信息泄露后,影响到您在高安全需求平台的账号安全。
3、乌云质疑:并非“撞库”
19日下午,乌云再次回应,“其中部分数据已经在互联网流传,同时这次密码泄露似乎也没有改密码就能解决这么简单。因为还泄露了用户密码提示问题&答案(hash处理),而且这个数据应该是“撞库”无法获取的,建议大家改密码的同时也将密码提示答案进行更新修改! ”
4、据安在了解
根据网上疑似泄露数据验证,其中不少用户信息是新鲜的,这意味着,有不少用户信息是最新被泄露出来。而且,样品中确实有不少是密码保护问题,这不是撞库能解释的。至于信息泄露的原因,很可能在于网易邮箱的API接口。不过,真实原因仍有待验证。
消息满天飞 责任在于谁?
1、乌云首先报告漏洞,漏洞发布平台扮演什么角色?
按照乌云的机制,通常漏洞发现后一定是先报给厂商的,有一定期限;如果厂商不回应,显示在社区内小范围内公开;再过一段时间不回应,就直接公布了,因为当一家厂商的漏洞牵涉到泄露广大用户的信息,这就是公众利益,厂商不能藏着掖着,平台有责任向用户告知。
2、如果网易确实有漏洞,将会承担什么责任?
目前看来,中国几乎没有企业由于信息泄露而承担责任的。比如此前的小米、携程等。
首先是责任认定难。企业是否真的存在漏洞,如果企业自己不承认,也缺少权威第三方来认定漏洞责任。所以,因为漏洞导致信息泄露在中国最多是道德问题,而不是经济问题或法律问题。
其次是责任处罚难。在网易邮箱的隐私政策里,也明确表示“但请您谅解,由于技术的限制以及风险防范的局限,即便我们已经尽量加强安全措施,也无法始终保证信息百分之百的安全。您需要了解,您接入我们的服务所用的系统和通讯网络,有可能因我们可控范围外的情况而发生问题。”可以认为,这就等于自我免责。
邮箱信息泄露 用户该怎么办?
安在建议:
1.修改邮箱密码保护问题和密码;
2.不建议登陆所谓的验证密码是否泄漏的网站查询,因为这种查询网站本身动机也未必安全。
3.修改用该邮箱绑定的第三方服务,比如icloud,淘宝等,因为这个安全邮箱已经不再安全了。
安在评论:网络安全永远在路上
❶安言咨询总经理张耀疆认为:
拖库这个问题一共三种情况,一是已经被拖了,二是已经被拖了可是大家还不知道,三是正走在被拖的路上。
当年从CSDN账号泄漏开始,一系列“脱裤”事件就层出不穷了,网易是否也在其列,虽然还有待时间验证,但这也应了那句老话:“很多时候,不是说你没被黑,而是你被黑了还不知道。
网易虽然表示信息泄露是由于用户信息在别处泄露所致,但是这并没有回复漏洞是否存在。如果事情一旦坐实,这里面透出严重的理念和管理问题,一家堂堂的互联网大公司,居然如此轻待安全,无论如何是说不过去的。这里想说的就是第二条:也许你被黑你还不知道,可还有多少时间,其实是你装作不知道呢?
看似简单而古老的账户及密码问题,牵一发而动全身,以及互联网世界里难于独善的特点,会一个点带动整个面。如果网易都可能存在漏洞,谁又能幸免?这就是我想说的第三句:“即便你真的还没被黑,你也一定是走在将要被黑的路上,区别只在于路远路近而已”。所以,对于网络企业而言,业务做大之后,如何在安全这块做强,是一个早晚都要面对的问题。
❷启明星辰副总裁欧阳梅雯表示:
目前大概有数亿中国用户的常用密码流落在外,基本上三年没改过的密码可以认为已经暴露。
我一直都会假定自己的所有设备都会被黑,所有账号密码都泄漏了,所有的安全措施都可能失效,根据这个来确定自己的信息安全策略,至少不会经常受到“惊吓”。
网络安全是技术活
网易邮箱漏洞事件中,还出现了一个小插曲,某电视台在报道中还出了一个乌龙事件,将上海的ucloud当做乌云漏洞平台,实际上,ucloud是一家国内知名的云服务公司,这样躺枪,也让ucloud哭笑不得。归根到底,网络安全是个技术活。
【作者介绍】叶健。另外,如想了解更多网络安全,可关注信息安全新媒体——安在