10月19日,乌云漏洞报告平台有白帽子报告称网易163/126邮箱的用户数据库疑似泄露,影响数量总共近5亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。目前,该白帽子已将细节通知厂商,等待厂商处理中。 乌云链接:http://www.wooyun.org/bugs/wooyun-2015-0147763 如果你正在使用网易邮箱的话,应该立即对这件事情进行处理,乌云网给网易用户的建议如下: 1,利用自己的163账号密码,登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登陆记录,当然,这还远远不够,还需要留意异地登陆提醒邮件; 2,如果有异常,那么需要赶紧修改掉网易邮箱密码,并且修改密码 登录邮箱 -> 设置 -> 邮箱密码修改,同时开启网友邮箱的安全防护功能 登陆邮箱 -> 设置 -> 邮箱安全设置 -> 登陆二次验证/安全锁/自动转发提醒; 3,最后,也是最重要的!!修改掉所有利用网易注册服务的密码与绑定关系,如:淘宝、支付宝、iCloud、QQ等你的关键服务线,因为目前密码与“保护邮箱”已经没法保护你了。 从10月17日开始,便有不少微博用户发文爆料网易邮箱被暴力破解,绑定网易邮箱的Apple ID被锁,微博、支付宝、百度云盘、游戏等账号受到影响。 然而,网易官方的说法却和网友大相径庭。10月18日,网易邮箱团队却在微博发布官方声明,表示邮箱被暴力破解属于网络谣传,“网易邮箱数据库不存在被攻击和泄露的情况,黑客获得部分用户在其他网站与网易邮箱同名的账号和密码,并以此账号密码尝试在其他网站登录,并非网易邮箱数据库泄露。” 此次乌云网公布的漏洞把剧情来了个大反转。不知道接下来网易要作何反应。 |