網(wǎng)易否認(rèn)郵箱漏洞造成資料泄露 烏云稱已提交CNCERT鑒定
央廣網(wǎng)北京10月20日消息(記者趙珂)據(jù)經(jīng)濟(jì)之聲《天下公司》報(bào)道,這兩天,一起疑似網(wǎng)絡(luò)安全漏洞事件成為廣受關(guān)注的話題。這段時(shí)間,有一些網(wǎng)友反映自己綁定網(wǎng)易郵箱的iPhone存儲(chǔ)數(shù)據(jù)被清空、iCloud帳號(hào)被黑,同時(shí)有網(wǎng)絡(luò)媒體稱,網(wǎng)易郵箱在10月14日被全面暴力破解,以網(wǎng)易郵箱注冊(cè)或者與其關(guān)聯(lián)的任何賬號(hào)都受到安全威脅,包括蘋(píng)果Apple ID、微博、支付寶、百度云盤(pán)、游戲等等。
10月18日,網(wǎng)易發(fā)表聲明稱,網(wǎng)易電子郵箱系統(tǒng)不存在安全漏洞, 此次事件是因?yàn)椴糠钟脩粼谄渌W(wǎng)站使用了和網(wǎng)易郵箱相同的賬號(hào)密碼,其他網(wǎng)站的賬號(hào)信息泄露,被不法分子利用,僥幸嘗試登陸網(wǎng)易郵箱造成的。
然而,昨天下午,互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)烏云網(wǎng)發(fā)布一份報(bào)告稱,網(wǎng)易的163和126郵箱有上億數(shù)據(jù)泄露,涉及郵箱賬號(hào)、密碼、用戶密保等。對(duì)此,網(wǎng)易再次回應(yīng)稱,經(jīng)過(guò)嚴(yán)密的技術(shù)排查,網(wǎng)易郵箱不存在用戶信息泄露,對(duì)任何惡意中傷的不實(shí)報(bào)道,網(wǎng)易公司將保留追究法律責(zé)任的權(quán)利。
今天,《天下公司》采訪了烏云網(wǎng)聯(lián)合創(chuàng)始人孟卓,他告訴我們,他們這次發(fā)布的是一個(gè)事件報(bào)告,而非漏洞報(bào)告,也就是說(shuō),用戶信息泄露的事實(shí)肯定存在,但還不清楚是否是由于網(wǎng)易郵箱漏洞造成的。
而網(wǎng)易方面在給我們發(fā)來(lái)的書(shū)面回應(yīng)中稱:網(wǎng)易郵箱團(tuán)隊(duì)鄭重聲明,謠傳網(wǎng)易郵箱出現(xiàn)數(shù)據(jù)泄露報(bào)道不實(shí)。同時(shí)提醒廣大用戶,在互聯(lián)網(wǎng)上,不建議在安全級(jí)別較低的普通網(wǎng)站使用與個(gè)人郵箱、金融支付等高安全需求平臺(tái)相同的賬號(hào)密碼體系。避免在普通網(wǎng)站的賬號(hào)信息泄漏后,影響高安全需求平臺(tái)的賬號(hào)安全。
金山首席安全專家李鐵軍表示,現(xiàn)在所有的證據(jù)都掌握在寫(xiě)這份事件報(bào)告的白帽子手中,沒(méi)看到完整的證據(jù),誰(shuí)也沒(méi)法說(shuō)清孰是孰非:
李鐵軍:目前其他人都沒(méi)有證據(jù),烏云網(wǎng)公布的報(bào)告上說(shuō)有5億條信息被泄露,其他人在沒(méi)拿到這5億條證據(jù)之前都只能推測(cè)。網(wǎng)易認(rèn)為自己沒(méi)有漏洞,但白帽子從掌握的證據(jù)來(lái)看,認(rèn)為自己理由充分。至于我們這些圍觀的人,就覺(jué)得各種可能性都有、
烏云網(wǎng)的報(bào)告顯示,網(wǎng)易郵箱安全報(bào)告的提交者網(wǎng)名叫“路人甲”,目前還不清楚這位白帽子的身份。不過(guò),烏云網(wǎng)聯(lián)合創(chuàng)始人孟卓透露,這位白帽子已經(jīng)將證據(jù)提交給了國(guó)家互聯(lián)網(wǎng)應(yīng)急中心,由這家權(quán)威機(jī)構(gòu)來(lái)認(rèn)定事件的性質(zhì),結(jié)果不久之后就會(huì)出來(lái),請(qǐng)大家耐心等待。
有分析認(rèn)為,從目前所公布的信息來(lái)看,網(wǎng)易郵箱安全事件的緣由既有可能是拖庫(kù),也有可能是撞庫(kù)。用大家都能聽(tīng)懂的話說(shuō),就是,既有可能是網(wǎng)易郵箱自身漏洞導(dǎo)致資料外泄,也有可能是黑客使用其它已經(jīng)泄露的信息攻擊了網(wǎng)易郵箱。
但是,目前有一點(diǎn)可以肯定,那就是部分網(wǎng)易郵箱的賬號(hào)密碼已經(jīng)被黑客弄到手了。金山首席安全專家李鐵軍說(shuō),如果泄露的資料數(shù)量真的像白帽子“路人甲”說(shuō)的那么多,那將會(huì)帶來(lái)災(zāi)難性的后果:
李鐵軍:如果用戶信息泄露真的達(dá)到了5億條,那就真的是一個(gè)悲劇性的大事件,后果會(huì)非常嚴(yán)重,以往若干次信息泄露的數(shù)量加起來(lái)可能也沒(méi)有這么多。而且泄露的除了賬號(hào)密碼,還有問(wèn)題答案,這些資料重新充實(shí)了黑客的資料庫(kù)。網(wǎng)易郵箱在國(guó)內(nèi)目前的用戶群很大,中國(guó)網(wǎng)民可能使用這個(gè)郵箱注冊(cè)了大量第三方服務(wù),例如社交、購(gòu)物、O2O等等。
李鐵軍坦言,現(xiàn)在泄露的數(shù)據(jù)庫(kù)越來(lái)越大,黑客撞庫(kù)成功的概率也越來(lái)越大,每個(gè)人都是潛在的受害者,而安全業(yè)界對(duì)此暫時(shí)也是無(wú)能為力。他還對(duì)我們說(shuō),傳統(tǒng)的密碼系統(tǒng)可能已經(jīng)徹底不管用了,建議所有重要的賬戶都采用密碼和手機(jī)動(dòng)態(tài)碼的雙重驗(yàn)證方式:
李鐵軍:如果是網(wǎng)易郵箱用戶,應(yīng)該盡快修改密碼,然后綁定手機(jī)號(hào),使用雙重驗(yàn)證。還有,如果用這個(gè)郵箱去注冊(cè)其它的服務(wù),特別是一些涉及到個(gè)人財(cái)務(wù)的關(guān)鍵性服務(wù),相應(yīng)的用戶名密碼都要修改,并開(kāi)通雙重驗(yàn)證。如果這件事是真的,就意味著密碼已經(jīng)死掉了,這套系統(tǒng)已經(jīng)完全不靠譜了,所以要盡可能使用雙重驗(yàn)證。不過(guò)有一個(gè)好消息是,做得比較好的支付公司本身的系統(tǒng)就是雙重驗(yàn)證的,這部分用戶其實(shí)不需要恐慌。
版權(quán)聲明:
凡注明來(lái)源為"天津都市網(wǎng)"的所有文字、圖片、音視頻、美術(shù)設(shè)計(jì)和程序等作品,版權(quán)均屬天津都市網(wǎng)或相關(guān)權(quán)利人專屬所有或持有所有。未經(jīng)本網(wǎng)書(shū)面授權(quán),不得進(jìn)行一切形式的下載、轉(zhuǎn)載或建立鏡像。否則以侵權(quán)論,依法追究相關(guān)法律責(zé)任。
查看所有評(píng)論正有(0)人在評(píng)論
網(wǎng)友評(píng)論僅供網(wǎng)友表達(dá)個(gè)人看法,并不表明本網(wǎng)同意其觀點(diǎn)或證實(shí)其描述