网易邮箱被曝安全漏洞 官方强烈否认:关联账户被盗找谁算账?
- 发布时间:2015-10-20 07:55:00 来源:北京日报 责任编辑:罗伯特
京报集团记者 孙雨
昨天,使用网易邮箱的用户度过了焦虑混乱的一天:乌云漏洞报告平台宣布接到一起惊人的数据泄密报告,网易用户数据库疑似泄露,影响到网易163、126邮箱过亿数据,泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。这意味着黑客已破解密码保护的体系,除了获取用户信息外,还可以长期登录被盗用户邮箱。对此,网易邮箱昨日晚间回应称,该报道不实,网易邮箱不存在自身数据泄露问题,而是因为用户在其他网站的账号和密码泄露导致的网易账号信息泄露。
“我用网易邮箱作为苹果账号,昨天被盗了2000元,到现在我都不知道找谁去讨钱?”李婷从来没想到盗刷的事儿就这样发生在自己身上了,一脸茫然不知找谁说理。针对网易的回应,众多网友表示怀疑。记者致电苹果官方客服对方表示,最近接到大量用户账号被盗的举报,大部分都是以网易邮箱作为登录账号,怀疑网易邮箱可能遭到攻击导致信息泄露。
数亿信息泄露疑云密布
每周一是白领章章最为繁忙的一天,各种例会外加各种工作安排,而这个周一竟然让他牺牲掉了四次去厕所的时间——因为网易邮箱信息泄露导致他已经“一个头两个大了”。
“在网上看到网易邮箱数亿信息遭到泄露,而我作为一个拥有163、126邮箱数年的人,绑定了几乎所有重要的账号,包括微博、支付宝、苹果手机账户等。”章章称,“为了以防万一,我跟所有的网易邮箱用户一起开始了漫长的修改,所有重要应用都得更改密码,实在太痛苦了,因为要改的实在太多了。”
昨日一早,著名安全平台乌云发布报告称,网易用户数据库疑似泄露,影响数量总共数亿条,泄露信息包括用户名、密码、密码提示问题/答案、注册IP、生日等。消息一出,迅速引起大批网友的担忧,大部分人开始忙着对网易邮箱的密码以及相关账户的密码进行修改。
不过,昨日晚间网易对此事予以否认。网易声明:经严密的技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,其他网站的账号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。”
对于这一回应,猎豹安全专家李铁军表示,网易的说法存在本身的逻辑以及可能性,但目前泄露信息根源依旧没法断定清楚。
而对于网易的回应,一些网友并不买账,一位网友就表示,打开自己数月没有登录过的网易邮箱,看到的却是德国、巴西、意大利的登录信息,这实在让人担忧。而在微博上一位自称网易员工的人也表示,从2004年就开始向单位(网易)提出安全问题,但没有人意识到安全的重要性,这次算买个教训。
可以看到,尽管网易坚决否认此事,但信息泄露带来的焦虑和担忧并没有因此消退。
安全专家:双重认证最保险
对于用户来说,除了网易账户密码被泄露外,更为重磅的一则报道是:包括苹果Apple ID、微博、支付宝、百度云盘、游戏等账户密码均遭到泄露。有不少iPhone手机用户表示,自己使用网易邮箱绑定Apple ID的手机已经被锁,并被擦除数据。
此次信息泄露为何引起网友恐慌?是因为这次从公开的截图看,黑客已拿到密码的MD5,同时,拿到了密保问题答案的MD5。MD5为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。“破解密码MD5就相当于临时得到这个邮箱账号的登录权限,如果就连破解密保问题MD5都获得了,就相当于永久控制这个账号。因为对方知道了密码保护答案。这个就比较危险了。”李铁军分析。
他建议用户:对于网易邮箱用户,应尽快修改邮箱密码,并开通双重验证(关联手机,使用手机验证码辅助登录);同时,使用网易邮箱注册其他服务的用户,也建议修改密码;重要服务同时开通双重验证。对于支付宝等关键服务的用户,其实不用太担心,这些系统本身要求使用双重验证,即使最坏的情况下导致账号密码泄露,攻击者也需要使用手机短信验证才能得到登录权限。
账号被盗谁之过
“今天我的苹果账号被盗了,银行卡被盗刷2000元。我不知道该如何处理了。”李婷在微信朋友圈中吐槽自己的遭遇。而实际上,李婷并不是个例。记者从新浪微博看到,不少网友在今年9月以后都反映网易关联的苹果账号被盗的问题,有些用户甚至产生了绑定银行卡被盗刷的情况。
“头一天晚上定了第二天一早7点的闹钟,但是到了第二天手机却没响,原来一夜之间变成了板砖。”网友马童在微博上写下了自己苹果账号从被盗到找回的整个过程,“一打开手机,手机屏幕上写着‘此ID已经过期’,因为用了iPhone这么多年也没听说过期一说,屏幕上一串字写着‘联系qq号’。”
于是马童赶紧百度,搜索 “Apple ID被盗”发现很多人都有类似被盗的情况。马童发现,屏幕上提供的qq号实际上是供犯罪分子敲诈用的——即需要用户用300元-2500元不等来获取手机解锁。马童的第一反应是报警。而民警表示震惊,不知道还有这样的事情,建议马童去分局找网警询问。对此,网警表示:“千万不要给骗子打钱,不然会被再次敲诈,推荐寻求苹果客服。”之后苹果客服在询问了苹果账号、邮箱地址等问题后,要求用户提供三个密保问题以及现在可用于联系的手机号。在经过一个多小时的转接电话过后,马童获悉只要自己登录appleid.apple.com/cn点击重设密码,点击确认邮件,就可以激活iPhone了。
对于马童来说,比较幸运的是自己网易邮箱的密码并没有被黑客更改,自己也没有因为被盗遭受经济损失。李婷则更加“愤慨”,绑定的信用卡也被盗刷了。到目前,自己绑定的网易邮箱否定信息泄露,没有任何说法;而苹果也在反复转接电话后对于如何处理没有结果;由于自己没有设定交易限额,银行方面的赔偿也是没有指望。她所丢失的2000元钱,最终可能只有自认倒霉。
对此,苹果客服称,最近接到大量的用户账号被盗的问题都是使用网易邮箱,可能网易邮箱遭到了攻击,造成了用户信息泄露。一旦用户遭到盗刷该找谁理赔?一位业内人士表示,由于很难界定是谁的明确责任,理赔可能会遇到困难。一位律师也表示,由于很多应用都是免费的,所以一旦用户遭受损失,遇到的可能是使用应用前必须“同意”的电子条款,这些条款往往会把风险推给用户。但用户在遭遇和服务方意见不一致时,可向当地人民法院起诉。