从10月17日开始,很多网友开始在微博上举报自己网易邮箱的内容被泄露。截至目前,在微博上搜索“网易邮箱”时,网友的吐槽只是多如牛毛。
网易邮箱官方微博发微博辟谣:“经网易邮箱团队调查,网络谣言不实。网易邮箱数据库未被攻击或泄露,同名账号被攻击与网易邮箱数据库无关。对于一些网站向用户发送的密码重置邮件,网易采取了各种安全措施,升级了风险控制策略。”
但颇为引人注目的是,平台宣布在《黑云漏洞报告》中发现新漏洞,将导致网易邮箱近5亿数据泄露,涉及邮箱账号/密码/用户秘密保护等。
因为检索密码的问答的MD5值已经泄露,攻击者将能够修改这些信息,那些邮箱的所有者几乎将失去控制。因此,与邮箱相关联的其他服务可能会被盗。
邮箱在国内用户数量最多,被宣传为安全,现在已经广泛传播。
根据百度百科的信息,网易有8个邮箱子品牌,包括163个免费邮件、126个免费邮件、yeah免费邮件、188个财富邮件、专业企业邮件、免费企业邮件。截至2014年12月,网易邮箱用户数已超过7.4亿,在中国邮箱行业处于市场领先地位。根据某第三方公司的最新报告,网易邮箱用户活跃度最高,人均月访问量第一。在“最常用电子邮件品牌”指数上也连续10年领跑中国市场。
此外,安全性也是网易邮箱一直标榜自己的优势之一。
2012年7月,网易正式成为打击假冒邮件利器的正式成员,也是国内第一家加入的邮件运营商。仅2014年,网易邮箱截获的非法邮件就达2.9亿封,较2013年的8900万封增长69%。同时,网易E mail还为国内顶级电商企业和在线支付企业打击反钓鱼邮件提供技术支持。
今年8月,根据国家标准最高标准,中国信息安全评估中心经过两年严格的信息安全评估,正式授予网易邮箱邮件系统“EAL3信息安全等级认证”。这是目前国内最高级别的邮件系统安全认证,网易也成为国内唯一获得该认证的邮件服务提供商。
企业的E-mail获得了中国信息安全评估中心授予的EAL2信息安全等级认证,这是国内邮件系统安全等级最高的认证,网易成为互联网行业唯一获得该认证的公司。
基于以上两点,网易邮箱深受用户信赖,与淘宝、支付宝、苹果、QQ账号绑定,但现在面临巨大风险。
苹果用户和百度网盘用户成为主要攻击目标。
网易邮箱暴力破解始于10月13日,知乎网友“余公子”在网上爆料,13日6点他的百度账号连同暴雪密码一起被修改,在也是如此他还认为:“按照之前的路线数,应该有组织的分批修改,然后再卖给下游产业链。买家接手后,一个个撞进图书馆,搜索价值,然后卖给需要个人信息的买家。应该是井喷911024之类的。愿拨号盘的用户安全……”
微博认证为“互动百科移动产品经理”的网友“蓝翔精英李大轩”总结了破解过程:首先破解网易邮箱,获取百度账号用户名,修改绑定邮箱,获取百度网盘权限。
因为百度网盘里有用户的通话记录、所有手机的截图和私人照片,一旦账号丢失,是不可能向管理员投诉的,所以大量用户喊话:“别拦着我!我要红!”
另一个受伤的群体是苹果用户,他们中的许多人发现自己突然变成了“砖头”,并收到疑似勒索者的消息,要求用户联系他们的QQ号码。
在联系苹果客服时,转账也很慢。有用户爆料称,自己在转入苹果ID管理部门之前已经登录了近4个小时。客服说这两天忙着轰炸,被盗邮箱都是网易邮箱。仍有700多个电话在用户身后等待。
风波不断,很多问题引发争议。
2013年央视315晚会上,有爆料称网易邮箱偷窥用户邮箱内容。默认情况下,第三方公司会在其网站上悬挂代码,以获取用户的所有浏览记录。虽然当时网易也是第一个时间,但它否认了,但第二天股价在开盘之后暴跌,跌幅超过5%。
事实上,有邮件用户投诉网易涉嫌发送垃圾邮件牟利,但网易当时表示,“活动通知邮件”是网易为用户提供的系统通知服务,由用户主动订阅,既不是垃圾邮件,也不是商业EDM邮件。有业内人士认为,这是网易故意混淆垃圾邮件和商业EDM邮件的概念,掩耳盗铃。
今年5月和7月,网易在短短两个月内又发生了一次“意外”。
今年5月11日,网易服务器大面积瘫痪,导致大部分网易产品和客户端无法连接刷新。随后,网易回应称,由于主干网受到攻击,其部分服务暂时无法正常使用。
没过多久,网易邮箱又出问题了。7月16日晚,有网友陆续在微博上举报网易邮箱登录失败,网页显示“繁忙的系统需要停一会,请稍后再试。”也有网友反映“126邮箱突然提示服务器更改密码”,通过重新输入密码或更改密码无法正常登录。
对于此次大规模宕机事件,网易官方回应称是系统升级导致,网易技术人员于17日凌晨成功修复,对邮件信息存储和邮件账号安全没有任何影响。
不过也有网友认为这是网易推送邮件APP造成的。“今天网易推送邮件客户端APP,强行修改护照所有入境点,导致验证错误,涉及游戏、网易论坛、游戏等产品。如果你的浏览器没有变化,也没有注销,可以保留原有身份,正常访问网易邮箱等服务。一旦你注销,悲剧就在等着你!”
其实在前不久引起轩然大波的苹果Xcode事件中,网易旗下的网易云音乐、网易公开课就曾榜上有名,而这次的事件也有某互联网公司安全部的内部邮件称是恶意Xcode所引发,由此看来,隐患已经潜伏一段时间。结语:
即使证据多多、网友吐槽遍地,网易邮箱也大言不惭出来“辟谣”:我们没事,不是我们的问题。而且看起来已经是习以为常了。在这个危险的互联网世界,如果不能提供安全,只会促使人们离开你,而不能提供安全还试图隐藏危险,就只能让人们送上白眼再离开你了。
本文系「互联网爆料」(ID:hbaoliao)原创,首发于百略网(
http://www.ibailve.com/),转载请注明出处。
网友评论
当前共有19条评论