网易邮箱泄露

网易邮箱泄露雷锋网读懂智能&未来首页 AI研习社 AI影响因子 活动 专题 精选 爱搞机

业界人工智能智能驾驶AI+ Fintech&区块链未来医疗网络安全AR/VR机器人开发者智能硬件物联网GAIR
专栏正文
0

网易邮箱数据泄露，你得先搞清这3个问题
本文作者：安在 2015-10-20 22:00
导语：关于网易邮箱密码泄露，别着急，咱们要先搞清楚三个问题。
关于网易邮箱密码泄露，别着急，咱们要先搞清楚三个问题。

这三个问题是：

1、拖库还是撞库？

2、责任在于谁？

3、我该怎么办？

想搞清这三个问题，请继续阅读：

拖库还是撞库，乌云与网易各执一词

1、乌云首发：网易邮箱疑遭“拖库”

19日下午13:57，乌云漏洞平台用户“路人甲”发布信息，“网易163/126邮箱过亿数据泄露（涉及邮箱账号/密码/用户密保等）”，并且漏洞的危害等级为“高”，状态为等厂商处理。

到了下午16:40，“路人甲”隐去了网易的名号，将漏洞名称改为“某邮箱”，而且漏洞状态改为，“已交由第三方合作机构(cncert国家互联网应急中心)处理”。

按照网络安全界的说法，这等于网易邮箱被“拖库”，是指网站遭到入侵后，黑客窃取了数据库。

2、网易回应：不是“拖库”是“撞库”

在18日下午和19日下午，网易邮箱官方两次发布公告回应。在网易邮箱的回应中，否认了被拖库，而认为是被撞库而已，即其他网站的数据泄露导致用户的网易邮箱信息间接泄露。

18日下午的公告表示“网易邮箱数据库不存在被攻击和泄露情况，黑客获得部分用户在其他网站与网易邮箱同名的账号和密码，并以此账号和密码来尝试在其他网站的登陆，并非网易邮箱数据库泄露。”

19日下午的公告再次表示，“此次事件，是由于部分用户在其他网站使用了和网易邮箱相同的账号密码，其他网站的账号信息泄露，被不法分子利用，侥幸尝试登陆网易邮箱造成。”

同时，网易邮箱还表示，“不建议在安全级别较低的普通网站使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。避免在普通网站的账号信息泄露后，影响到您在高安全需求平台的账号安全。

3、乌云质疑：并非“撞库”

19日下午，乌云再次回应，“其中部分数据已经在互联网流传，同时这次密码泄露似乎也没有改密码就能解决这么简单。因为还泄露了用户密码提示问题&答案(hash处理)，而且这个数据应该是“撞库”无法获取的，建议大家改密码的同时也将密码提示答案进行更新修改！ ”

网易邮箱数据泄露，你得先搞清这3个问题

网易邮箱数据泄露，你得先搞清这3个问题

4、据安在了解

根据网上疑似泄露数据验证，其中不少用户信息是新鲜的，这意味着，有不少用户信息是最新被泄露出来。而且，样品中确实有不少是密码保护问题，这不是撞库能解释的。至于信息泄露的原因，很可能在于网易邮箱的API接口。不过，真实原因仍有待验证。

网易邮箱数据泄露，你得先搞清这3个问题

消息满天飞 责任在于谁？

1、乌云首先报告漏洞，漏洞发布平台扮演什么角色？

按照乌云的机制，通常漏洞发现后一定是先报给厂商的，有一定期限；如果厂商不回应，显示在社区内小范围内公开；再过一段时间不回应，就直接公布了，因为当一家厂商的漏洞牵涉到泄露广大用户的信息，这就是公众利益，厂商不能藏着掖着，平台有责任向用户告知。

2、如果网易确实有漏洞，将会承担什么责任？

目前看来，中国几乎没有企业由于信息泄露而承担责任的。比如此前的小米、携程等。

首先是责任认定难。企业是否真的存在漏洞，如果企业自己不承认，也缺少权威第三方来认定漏洞责任。所以，因为漏洞导致信息泄露在中国最多是道德问题，而不是经济问题或法律问题。

其次是责任处罚难。在网易邮箱的隐私政策里，也明确表示“但请您谅解，由于技术的限制以及风险防范的局限，即便我们已经尽量加强安全措施，也无法始终保证信息百分之百的安全。您需要了解，您接入我们的服务所用的系统和通讯网络，有可能因我们可控范围外的情况而发生问题。”可以认为，这就等于自我免责。

邮箱信息泄露 用户该怎么办？

安在建议：

1.修改邮箱密码保护问题和密码；

2.不建议登陆所谓的验证密码是否泄漏的网站查询，因为这种查询网站本身动机也未必安全。

3.修改用该邮箱绑定的第三方服务，比如icloud，淘宝等，因为这个安全邮箱已经不再安全了。

安在评论：网络安全永远在路上

❶安言咨询总经理张耀疆认为：

拖库这个问题一共三种情况，一是已经被拖了，二是已经被拖了可是大家还不知道，三是正走在被拖的路上。

当年从CSDN账号泄漏开始，一系列“脱裤”事件就层出不穷了，网易是否也在其列，虽然还有待时间验证，但这也应了那句老话：“很多时候，不是说你没被黑，而是你被黑了还不知道。

网易虽然表示信息泄露是由于用户信息在别处泄露所致，但是这并没有回复漏洞是否存在。如果事情一旦坐实，这里面透出严重的理念和管理问题，一家堂堂的互联网大公司，居然如此轻待安全，无论如何是说不过去的。这里想说的就是第二条：也许你被黑你还不知道，可还有多少时间，其实是你装作不知道呢？

看似简单而古老的账户及密码问题，牵一发而动全身，以及互联网世界里难于独善的特点，会一个点带动整个面。如果网易都可能存在漏洞，谁又能幸免？这就是我想说的第三句：“即便你真的还没被黑，你也一定是走在将要被黑的路上，区别只在于路远路近而已”。所以，对于网络企业而言，业务做大之后，如何在安全这块做强，是一个早晚都要面对的问题。

❷启明星辰副总裁欧阳梅雯表示：

目前大概有数亿中国用户的常用密码流落在外，基本上三年没改过的密码可以认为已经暴露。

我一直都会假定自己的所有设备都会被黑，所有账号密码都泄漏了，所有的安全措施都可能失效，根据这个来确定自己的信息安全策略，至少不会经常受到“惊吓”。

网络安全是技术活

网易邮箱漏洞事件中，还出现了一个小插曲，某电视台在报道中还出了一个乌龙事件，将上海的ucloud当做乌云漏洞平台，实际上，ucloud是一家国内知名的云服务公司，这样躺枪，也让ucloud哭笑不得。归根到底，网络安全是个技术活。

【作者介绍】叶健。另外，如想了解更多网络安全，可关注信息安全新媒体——安在

雷锋网原创文章，未经授权禁止转载。详情见转载须知。

1人收藏 分享：
相关文章
邮箱密码责任泄密

全球近3 成大企业 CEO 邮箱密码被窃取

黑客称窃取Dropbox 700万用户密码，官方回应未遭受攻 ...

密码管理神器myIDkey 再不担心忘记密码！

BigData 2018 最前沿：让人工智能找到可操作的防范恶 ...
文章点评：

我有话要说……
表情 同步到新浪微博 提交

安在
专栏特约平台

人物、热点、互动、传播最有内涵的信息安全新媒体。
发私信
当月热门文章
最新文章
NewGen 张璐：硅谷看好的三个热点技术
iPhone 7 Plus的这颗长焦摄像头将改变人工智能的消费生态
控制权的争夺战即将开始
如果没有它，VR 注定是场 “闹剧”
为何大数据公司很多，AI公司却很少？
刷月饼事件是规则问题，与价值观没什么关系
热门搜索
无人机创业互联网人脸识别Google Glass中国移动Apple TV贾跃亭指纹识别AirbnbiPad应用
热门关键字
热门标签人工智能 机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会优葩智能硬件公司智能硬件QQ红包支付宝红包敬业福机器学习nfc手机生命游戏sonoslinkfacegoogle 新操作系统小米 noteubuntu平板仓库机器人nvidia shield k1小牛电动车论坛wii小米 血压计facebook 收购大疆无人机保险更多
联系我们关于我们加入我们意见反馈投稿
Copyright © 2011-2018 www.leiphone.com 雷锋网-移动互联网智能终端第一媒体 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank