前天下午网易被曝邮箱信息泄露,当时有同事吼了一声”网易被拖库“,整个办公室都炸了。以下是乌云报漏洞的截图:
网易作为老牌邮件服务提供商,根据百度百科的信息显示:网易旗下共有8个邮箱子品牌,包括163免费邮、126免费邮、yeah免费邮、163VIP、126VIP、188财富邮、专业企业邮以及免费企业邮,截至2014年12月网易邮箱的用户数已突破7.4亿,在中国邮箱行业领跑市场。据第三方公司最新报告显示,网易邮箱用户活跃度最高,人均月度访问次数第一;在“最常使用邮箱品牌”这个指标上也连续10年领跑中国市场。据不可靠数据,市场占有率高达60%,至少有一半以上的网民拥有网易邮箱账号。如果这次泄露属实,并且是拖库的话,那么影响范围巨大。
乌云漏洞的描述是这样的:数据过亿交易证明数据/包含邮箱密码密保信息/登陆ip以及用户生日等,其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。
很快,网易官方也发表了声明,大意就是我们很安全,这次泄露的账号是黑客撞库所得,和我这边没关系。
鉴于朋友们大部分不是从事互联网相关的工作,所以先来解释几个名词:
拖库:本来是数据库领域的术语,指从数据库中导出数据。在黑客领域的意思是某黑客利用网站的漏洞,将网站的所有用户数据完整的盗取出来。这种是非常可怕的手段,相当于你在该网站留下的所有信息都有可能被泄露,不要说你的密码了,你的年龄、身份证、爱好或者羞羞的照片都可能被偷走并贩卖。拖库又作谐音"脱裤"。
洗库:黑客拿到用户的数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。例如倒卖QQ号,提取个人信息出售,以及提取手机号码卖给发送垃圾信息的人。下面一幅图大体描述了处理用户数据的流程:
MD5:第五代信息摘要算法,很多人认为其是一种加密算法,其实并不是,因为它无法解密。也就是说拿到了一串MD5的字符之后,通过一般的方式无法得到处理前的字符。这次黑客拿到的是密码和密保都是MD5存储的,无法解密似乎很安全。但是弱密码的MD5值是很容易得到的,因为已经有明文和其MD5值的数据库。比如123456的MD5值是49ba59abbe56e057,那黑客拿到了49ba59abbe56e057后,就可以根据原有的数据库做比对,很容易就能找到原始密码是123456。这也就是为什么网站一直建议我们设置复杂密码的原因,纯数字的密码几乎没有秘密可言,重要网站密码一定要包含字符、数字和特殊字符。下图表示黑客如何处理得到的数据以及加密数据的破解。
再次回到事件本身,从乌云的表述来看,这次泄密的内容包括密保和登录ip等信息,撞库是无法获得的,如果信息属实,那么此次网易是被拖库无疑。
从一些其他的报道,将此次泄露的数据和之前互联网上公开的12亿条数据做关联性匹配测试,发现两批数据的交叉耦合度很低,说明此次数据并非简单的撞库所得。
另外还有一些爆料,某公司的安全工程师说"圈内有一则传言:网易有个API接口没有任何限制,被黑客爆破已经4年多了。"
黑客在拿到用户数据后不会立马公开,会将其洗到没有价值了之后才会公开,一般来说,用户数据在地下黑产会经历以下五步:
1. 数据泄露
2. 高端黑客间高质量数据的交换买卖
3. 撞第三方支付平台密码,游戏洗号,撞其他交易相关类网站
4. 第二次数据买卖,诈骗,iCloud敲诈
5. 数据流出
现在基本上已经走到了,第四步和第五步,说明已经泄漏了一段时间了。
就目前能获得到的资料来看,网易被拖库的可能性比较大,对我们每个人的信息安全都是非常大的影响,为了让影响降到最低,建议广大值友们全面修改网易邮箱的密码和密保问题,以及和网易邮箱密码相同的其他网站密码。
网络安全和密码安全
网络世界,几乎没有一家互联网公司可以说自己的信息100%不会泄漏,所以在平时需要养成良好的隐私保护习惯,争取在泄漏时将危害降至最小。
1. 不同网站设置不同的密码。这个措施是为了方式撞库造成信息泄漏的风险。这句话说起来简单,但是做起来挺难的,因为现在网站众多,那么多密码不一定能记住。所以现在教大家一种方法来根据不同的网站设置不同的密码。假如你叫张三,那么设置密码的规则可以设置为"Zhang1San@+网站域名的前两个字母",这种规则下,淘宝的密码是"Zhang1San@ta",京东的密码是"Zhang1San@jd",网易的密码是"Zhang1San@16"。当然你也可以在这个规则下弄一些更没有规律的组合,比如我们公司安全部门推荐的密码设置规则:
2. 网站分等级设置密码。可以将网站分为几类,级别较低的一种密码模式,涉及电商的一种模式,涉及到支付的又是一种模式,还要注意登录密码和支付密码要设置为不同的。其实我现在最担心的倒不是网站的密码,而是银行卡密码,所幸里面没啥钱。
3. 不要将密码保存在除你的头脑之外的一切地方。公司很多同事,也别是业务人员,喜欢将电脑登录密码用便签纸写下贴在显示器上,这和没有密码有毛区别。还有人喜欢用个小本子将密码记下来,而且写得很详细,比如淘宝:帐号zhangsanissb,密码abc123。这样小本子丢了你的密码也忘了,更别说刚好被人捡去干坏事儿。另外有人将密码写在word或txt,保存在电脑或者网盘中,还贴心的取名"password",你们知道黑客侵入电脑,首先就会扫描"password.txt"么。所以最好将密码保存在你的头脑中,别人偷不走(排除以后的脑电波方式),如果实在记不住可以借助第三方密码管理工具,张大妈也推荐过1Password。
4. 不要轻易使用非信用的公共Wifi,特别是android系统。之前用的WinPhone系统,各种公共Wifi无限制不担心,当然也没银行相关的应用。但是andriod由于系统的特殊性,如果连接上了恶意的Wifi,很容易就能拿到你的个人信息。
5. 定期修改密码。这点列这么后面是因为我自己做不到,但是还是请各位将重要账号的密码定期修改,三个月一次是要的。何为重要账号,就是里面关联了五位以上金额的账号。
好了,其他的也没什么要说的了,如果有好的建议希望可以在评论中补充,希望各位关注自己的隐私,永远接不到诈骗电话。
ps:我非专业黑客,如描述的有问题请见谅。
ps2:下面简单列举已经公开的泄漏数据,有些是撞库所得(不完全,只是挑了几个网站):
14.1亿企鹅群关系:1,410,000,000
天涯社区:29,233,001
机锋Android手机交流网:21,258,536
开房记录:传说中的2000W19,238,496
hiapk安卓网17,130,246
52pk游戏网14,001,237
1717游戏9,104,228
小米8,063,673
珍爱网6,634,117
csdn:6,183,783
7k7k网页游戏:6,173,649
多玩游戏网:5,431,095
太平洋电脑:5,135,650
开心网:4,293,507
齐家装修网:3,752,933
51cto:3,200,627
人人网:3,138,386
新浪微博:3,127,155
Gmail:2,308,840
完美世界游戏:1,987,815
拉手团购网:1,815,656
射手字幕网:1,080,479
51job:1,068,625
hotmail:986,527
当当:894,244
暴风影音:560,528
jd京东:471,552
百合网:353,771
墨迹天气:151,138
快钱:105,244
126网盘:46,216
李毅吧:41,782
百度网盘:4,292
吾爱破解:598
申明:数据来自第三方,不保证正确,不承担责任。。