網易郵箱被曝安全漏洞 官方強烈否認:關聯賬戶被盜找誰算賬?
- 發佈時間:2015-10-20 07:55:00 來源:北京日報 責任編輯:羅伯特
京報集團記者 孫雨
昨天,使用網易郵箱的用戶度過了焦慮混亂的一天:烏雲漏洞報告平臺宣佈接到一起驚人的數據泄密報告,網易用戶數據庫疑似洩露,影響到網易163、126郵箱過億數據,洩露資訊包括用戶名、密碼、密碼密保資訊、登錄IP以及用戶生日等。這意味著駭客已破解密碼保護的體系,除了獲取用戶資訊外,還可以長期登錄被盜用戶郵箱。對此,網易郵箱昨日晚間回應稱,該報道不實,網易郵箱不存在自身數據洩露問題,而是因為用戶在其他網站的賬號和密碼洩露導致的網易賬號資訊洩露。
“我用網易郵箱作為蘋果賬號,昨天被盜了2000元,到現在我都不知道找誰去討錢?”李婷從來沒想到盜刷的事兒就這樣發生在自己身上了,一臉茫然不知找誰説理。針對網易的回應,眾多網友表示懷疑。記者致電蘋果官方客服對方表示,最近接到大量用戶賬號被盜的舉報,大部分都是以網易郵箱作為登錄賬號,懷疑網易郵箱可能遭到攻擊導致資訊洩露。
數億資訊洩露疑雲密布
每週一是白領章章最為繁忙的一天,各種例會外加各種工作安排,而這個週一竟然讓他犧牲掉了四次去廁所的時間——因為網易郵箱資訊洩露導致他已經“一個頭兩個大了”。
“在網上看到網易郵箱數億資訊遭到洩露,而我作為一個擁有163、126郵箱數年的人,綁定了幾乎所有重要的賬號,包括微網志、支付寶、蘋果手機賬戶等。”章章稱,“為了以防萬一,我跟所有的網易郵箱用戶一起開始了漫長的修改,所有重要應用都得更改密碼,實在太痛苦了,因為要改的實在太多了。”
昨日一早,著名安全平臺烏雲發佈報告稱,網易用戶數據庫疑似洩露,影響數量總共數億條,洩露資訊包括用戶名、密碼、密碼提示問題/答案、註冊IP、生日等。消息一齣,迅速引起大批網友的擔憂,大部分人開始忙著對網易郵箱的密碼以及相關賬戶的密碼進行修改。
不過,昨日晚間網易對此事予以否認。網易聲明:經嚴密的技術排查,網易郵箱不存在自身數據洩露問題。此次事件,是由於部分用戶在其他網站使用了和網易郵箱相同的賬號密碼,其他網站的賬號資訊洩露,被不法分子利用,僥倖嘗試登錄網易郵箱造成。”
對於這一回應,獵豹安全專家李鐵軍表示,網易的説法存在本身的邏輯以及可能性,但目前洩露資訊根源依舊沒法斷定清楚。
而對於網易的回應,一些網友並不買賬,一位網友就表示,打開自己數月沒有登錄過的網易郵箱,看到的卻是德國、巴西、義大利的登錄資訊,這實在讓人擔憂。而在微網志上一位自稱網易員工的人也表示,從2004年就開始向單位(網易)提出安全問題,但沒有人意識到安全的重要性,這次算買個教訓。
可以看到,儘管網易堅決否認此事,但資訊洩露帶來的焦慮和擔憂並沒有因此消退。
安全專家:雙重認證最保險
對於用戶來説,除了網易賬戶密碼被洩露外,更為重磅的一則報道是:包括蘋果Apple ID、微網志、支付寶、百度雲盤、遊戲等賬戶密碼均遭到洩露。有不少iPhone手機用戶表示,自己使用網易郵箱綁定Apple ID的手機已經被鎖,並被擦除數據。
此次資訊洩露為何引起網友恐慌?是因為這次從公開的截圖看,駭客已拿到密碼的MD5,同時,拿到了密保問題答案的MD5。MD5為電腦安全領域廣泛使用的一種散列函數,用以提供消息的完整性保護。“破解密碼MD5就相當於臨時得到這個郵箱賬號的登錄許可權,如果就連破解密保問題MD5都獲得了,就相當於永久控制這個賬號。因為對方知道了密碼保護答案。這個就比較危險了。”李鐵軍分析。
他建議用戶:對於網易郵箱用戶,應儘快修改郵箱密碼,並開通雙重驗證(關聯手機,使用手機驗證碼輔助登錄);同時,使用網易郵箱註冊其他服務的用戶,也建議修改密碼;重要服務同時開通雙重驗證。對於支付寶等關鍵服務的用戶,其實不用太擔心,這些系統本身要求使用雙重驗證,即使最壞的情況下導致賬號密碼洩露,攻擊者也需要使用手機短信驗證才能得到登錄許可權。
賬號被盜誰之過
“今天我的蘋果賬號被盜了,銀行卡被盜刷2000元。我不知道該如何處理了。”李婷在微信朋友圈中吐槽自己的遭遇。而實際上,李婷並不是個例。記者從新浪微網志看到,不少網友在今年9月以後都反映網易關聯的蘋果賬號被盜的問題,有些用戶甚至産生了綁定銀行卡被盜刷的情況。
“頭一天晚上定了第二天一早7點的鬧鐘,但是到了第二天手機卻沒響,原來一夜之間變成了板磚。”網友馬童在微網志上寫下了自己蘋果賬號從被盜到找回的整個過程,“一打開手機,手機螢幕上寫著‘此ID已經過期’,因為用了iPhone這麼多年也沒聽説過期一説,螢幕上一串字寫著‘聯繫qq號’。”
於是馬童趕緊百度,搜索 “Apple ID被盜”發現很多人都有類似被盜的情況。馬童發現,螢幕上提供的qq號實際上是供犯罪分子敲詐用的——即需要用戶用300元-2500元不等來獲取手機解鎖。馬童的第一反應是報警。而民警表示震驚,不知道還有這樣的事情,建議馬童去分局找網警詢問。對此,網警表示:“千萬不要給騙子打錢,不然會被再次敲詐,推薦尋求蘋果客服。”之後蘋果客服在詢問了蘋果賬號、郵箱地址等問題後,要求用戶提供三個密保問題以及現在可用於聯繫的手機號。在經過一個多小時的轉接電話過後,馬童獲悉只要自己登錄appleid.apple.com/cn點擊重設密碼,點擊確認郵件,就可以激活iPhone了。
對於馬童來説,比較幸運的是自己網易郵箱的密碼並沒有被駭客更改,自己也沒有因為被盜遭受經濟損失。李婷則更加“憤慨”,綁定的信用卡也被盜刷了。到目前,自己綁定的網易郵箱否定資訊洩露,沒有任何説法;而蘋果也在反覆轉接電話後對於如何處理沒有結果;由於自己沒有設定交易限額,銀行方面的賠償也是沒有指望。她所丟失的2000元錢,最終可能只有自認倒楣。
對此,蘋果客服稱,最近接到大量的用戶賬號被盜的問題都是使用網易郵箱,可能網易郵箱遭到了攻擊,造成了用戶資訊洩露。一旦用戶遭到盜刷該找誰理賠?一位業內人士表示,由於很難界定是誰的明確責任,理賠可能會遇到困難。一位律師也表示,由於很多應用都是免費的,所以一旦用戶遭受損失,遇到的可能是使用應用前必須“同意”的電子條款,這些條款往往會把風險推給用戶。但用戶在遭遇和服務方意見不一致時,可向當地人民法院起訴。