網(wǎng)易郵箱官方微博在昨天下午發(fā)微博辟謠:“經(jīng)網(wǎng)易郵箱團隊排查,網(wǎng)絡謠傳并不屬實。網(wǎng)易郵箱數(shù)據(jù)庫不存在被攻擊和泄露情況,同名賬戶被攻擊和網(wǎng)易郵箱數(shù)據(jù)庫無關。至于部分網(wǎng)站發(fā)給用戶的密碼重置郵件,網(wǎng)易已經(jīng)采取了各種安全保障措施,升級了風控策略。”
但頗為打臉的是今天下午烏云漏洞報告平臺宣布發(fā)現(xiàn)新漏洞,此漏洞將導致網(wǎng)易163/126郵箱近5億條數(shù)據(jù)泄漏,涉及郵箱賬號/密碼/用戶密保等。而因為找回密碼的問題及答案的MD5值也已經(jīng)泄露,攻擊者將可以修改這些信息,那些郵箱的主人將幾乎喪失控制權。由此也將導致郵箱關聯(lián)的其他服務可能被盜。
郵箱國內用戶量最大、標榜安全,如今波及甚廣
根據(jù)百度百科的信息顯示:網(wǎng)易旗下共有8個郵箱子品牌,包括163免費郵、126免費郵、yeah免費郵、163VIP、126VIP、188財富郵、專業(yè)企業(yè)郵以及免費企業(yè)郵,截至2014年12月網(wǎng)易郵箱的用戶數(shù)已突破7.4億,在中國郵箱行業(yè)領跑市場。據(jù)第三方公司最新報告顯示,網(wǎng)易郵箱用戶活躍度最高,人均月度訪問次數(shù)第一;在“最常使用郵箱品牌”這個指標上也連續(xù)10年領跑中國市場。
此外,安全也是網(wǎng)易郵箱一直標榜自己的優(yōu)勢之一。
2012年7月,網(wǎng)易正式成為打擊偽造郵件利器的DMARC官方成員,同時也是中國國內第一家加入DMARC的郵件運營商。僅在2014年一年,網(wǎng)易郵箱靠DMARC攔截到的非法郵件數(shù)量就達到2.9億封,比2013年的8.9千萬封增長了69%。與此同時,網(wǎng)易郵箱還為國內頂級的電商企業(yè)和在線支付企業(yè)提供技術支持,打擊反釣魚郵件。
今年的8月份,中國信息安全測評中心依據(jù)國標最高標準,在對網(wǎng)易郵箱進行了持續(xù)兩年嚴格的信息安全評估后,正式授予網(wǎng)易郵箱郵件系統(tǒng)“EAL3+級信息安全等級認證”。這是目前國內最高級別的郵件系統(tǒng)安全認證,網(wǎng)易也成為國內唯一一個唯一獲此認證的郵件服務商。
企業(yè)郵箱獲得中國信息安全測評中心授予的EAL2級信息安全等級認證,這是國內最高級別的郵件系統(tǒng)安全認證,網(wǎng)易成為互聯(lián)網(wǎng)業(yè)界唯一獲此認證的公司。
也正是基于以上兩點,網(wǎng)易郵箱被廣大用戶深深信賴,使用網(wǎng)易郵箱綁定淘寶、支付寶、蘋果iCloud和QQ等帳號,而如今面臨巨大的風險。
蘋果用戶和百度網(wǎng)盤用戶成為主要波及對象
這次的網(wǎng)易郵箱被暴力破解事件最早從10月13日開始,知乎網(wǎng)友“于公子”在網(wǎng)上爆料在13日6點自己的百度帳號與暴雪戰(zhàn)網(wǎng)密碼一起被修改,時間相同。他還認為:“按以前的路數(shù)應該是有組織的批量修改,然后會向下游產業(yè)鏈出售,買家接手后逐個撞庫,搜刮價值后再轉手賣給需要個人信息的買家,還有91,1024什么的應該會有個井噴吧,愿度盤用戶安好……”
微博上實名認證為“互動百科移動產品經(jīng)理”的網(wǎng)友“藍翔精英李大栓”總結了破解過程:先破解網(wǎng)易郵箱,得到百度賬戶用戶名,修改綁定郵箱,得到百度網(wǎng)盤權限。
由于百度網(wǎng)盤上有用戶的通話記錄、所有手機的截圖、私密照片,加之賬戶一旦丟失,無法向管理員申訴,所以大批用戶大呼:“別攔我!我要紅!”
另一受傷的群體則是蘋果用戶,許多用戶發(fā)現(xiàn)自己的iPhone突然變“磚”,并受到疑似敲詐者的留言,讓用戶聯(lián)系其QQ號。
而聯(lián)系蘋果客服,也是轉接緩慢,有用戶爆料自己登陸了將近四個小時才轉接到蘋果的ID管理部門,客服說自己這兩天忙炸了,被盜的全是網(wǎng)易郵箱,該用戶身后還有七百多通電話在等候。