乌云漏洞平台:网易邮箱漏洞,过亿用户数据或泄漏 - 网站地图

当前路径:整站地图 > 乌云漏洞平台:网易邮箱漏洞,过亿用户数据或泄漏 内容_Archiver

10月19日消息,乌云刚刚宣布发现漏洞,此漏洞将导致网易163/126邮箱过亿数据泄漏,涉及163数据过亿交易证明数据/邮箱账号/密码/用户密保等。 以下是乌云发布的漏洞信息: 日前疯传网易邮箱遭“破解”的消息显示,大量AppleID、微博、支付宝、百度云盘、游戏等均遭到泄露,有不少iPhone手机用户表示,自己使用网易邮箱绑定AppleID的手机已经被锁,并被远程擦除数据。据悉,这类问题最早集中出现于10月15日,受影响用户全部使用网易邮箱。 昨天,网易直指“网易邮箱遭破解

主要内容:

10月19日消息,乌云刚刚宣布发现漏洞,此漏洞将导致网易163/126邮箱过亿数据泄漏,涉及163数据过亿交易证明数据/邮箱账号/密码/用户密保等。

以下是乌云发布的漏洞信息:

乌云漏洞 网易邮箱


日前疯传网易邮箱遭“破解”的消息显示,大量AppleID、微博、支付宝、百度云盘、游戏等均遭到泄露,有不少iPhone手机用户表示,自己使用网易邮箱绑定AppleID的手机已经被锁,并被远程擦除数据。据悉,这类问题最早集中出现于10月15日,受影响用户全部使用网易邮箱。

昨天,网易直指“网易邮箱遭破解”的说法为谣言,声称与网易无关,上述现象应系“撞库”所致:“经网易邮箱团队排查,网络谣传并不属实。……网易邮箱……拥有18年的技术和运维积累,获得国家最高等级安全证书EAL3+,是目前邮件系统领域最高安全级别证书。……请网易邮箱用户放心使用。”

所谓“撞库”,指在不同网站使用相同密码,其中一个网站数据库泄漏,导致其它网站被株连。网易的声明意在将安全责任外推,然而“撞库”变“脱库”,发生成体系、大规模数据泄漏,网易应难再“喊冤”。

然而,网易方面就此再次发表声明,强调安全等级,否认数据泄露,继续指责“脱库”说法为“谣言”,与昨天声明内容没有任何不同。不过就有用户在新浪微博发出网易用户中心的相关安全提醒,显示网易“外松内紧”:


其实,昨日就有大量网易邮箱遭全面暴力破解的相关新闻放出,大量网友称绑定的账号遭泄露。绑定网易邮箱的Apple ID被锁成砖,iPhone存储数据被清空。其中,包括苹果Apple ID在内的微博、支付宝、百度云盘等都受到影响。


据乌云漏洞平台报告,网易旗下163和126邮箱系统数据库大规模泄漏,受影响用户数超过1亿,约占其用户总量的20%。

乌云白帽子“路人甲”(乌云漏洞平台的匿名漏洞报告者)在漏洞报告中指出,泄漏数据包括邮箱用户账号、密码、密码保护(问题和答案)、登录IP、生日等敏感信息。其中,密码和密码保护虽然均为加密数据,但由于所用加密算法MD5可破解,经破解后测试发现,大部分邮箱可登录,显示这批数据是新近泄漏的。

另一位乌云白帽子“紫霞仙子”透露,泄漏数据量高达数十GB。 


@想吃怪味豆微博用户:

网易邮箱遭全面破解,已经有大量用户中招了,邮箱东西被盗,绑定苹果id的部分手机已经被抹除数据(变砖!)自上次的xcode事件之后,这次是玩大的了,各位苹果用户,你们的手机随时会砖,网易,这次的锅你背不起,是时候跟网易产品说再见了。apple id两步验证没开的只能祝君好运…以后我是不用肾机了…

昨晚,网易官方出来辟谣否认,全文如下:

乌云漏洞 网易邮箱


究竟是“撞库”还是“脱库”?似乎成了网易方面与安全圈的技术性分歧。但如果是撞库,受影响用户数量怎么会高达亿级?更无法解释密保数据赫然在列。试问如何“撞”出密保数据来?

乌云漏洞库显示,今年来网易邮箱系统已经曝出不少高危安全漏洞,其中甚至有弱管理员口令、运维员工邮箱账号泄露等危害极大的低级错误,黑客进出其内部网络获取敏感数据如探囊取物。产品和运营如此表现,真的达到 EAL3+ 安全等级了吗?获得一张证书不难,难的是坚守责任。这份责任,包括事中,也包括事后:继续坚持辟“谣”?或者协助用户止损?至少,应该尽快通知用户更改密码吧?

根据乌云的漏洞报告可得知,事件根源在于出现漏洞。邱嵩松提醒各位,有使用网易邮箱绑定账号的要注意提高警惕,必要时可以先行解绑,毕竟自己的隐私安全才是最为重要的。

邱嵩松提醒:有使用网易邮箱的请立即修改为一个以前从未使用过的密码,最好是字母+数字的。

作者:Qiuss 来源: 浏览量:2678 归属栏目:黑客新闻 发布时间:2015/10/20 9:19:15 修改时间:2015/10/20 9:25:23 查看原文