网易邮箱泄露 调查表示遭黑客攻击
10月19日下午,乌云宣布发现网易新漏洞,网易用户数据库疑似泄露,影响数量总数亿条,泄露信息包括用户名、MD5密码、密码提示答案、注册IP、生日等。网易163\126邮箱过亿数据泄露(涉及邮箱账号\密码\用户密保等)。
网易称邮箱不存在自身数据泄露问题
从上周中开始,微博微信等社交渠道即流传网易邮箱在10月14日被全面暴力破解,以网易邮箱注册或者与其关联的任何账号都受到安全威胁,包括苹果Apple ID、微博、支付宝、百度云盘、游戏等等。网易公司周末紧急发布辟谣声明,称经排查,网络谣传并不属实,网易邮箱数据库不存在被攻击和泄露的情况。
然而,昨日上午,越来越多用户表示网易邮箱账号已被盗。下午,知名白帽子平台乌云贴出公告,称收到会员提交的报告,指网易邮箱存在严重漏洞,将导致网易163/126邮箱过亿数据泄露,涉及邮箱账号/密码/用户密保等。
网易公司公关部昨日傍晚给记者发来最新回应,表示“此报道不实”,“网易邮箱不存在自身数据泄露问题”,此次事件是由于不法分子用其他网站泄露的账号密码“撞库”登录网易邮箱所造成,但对用户因此遭遇的麻烦和损失,并没有提供专门解决方案。
安全业界对黑客“撞库”束手无策
知名白帽子平台乌云昨日下午2时多突然发布公告,称接到一起惊人的数据泄密报告,网易的用户数据库疑似泄露,影响到网易163/126邮箱过亿数据,泄露信息包括用户名、MD5密码、密码密保信息、登录IP以及用户生日等,其中密码密保解开后测试大部分邮箱依旧还可登录。
乌云官微随后又发文称,这次密码泄露似乎也不是改密码就能解决这么简单,因为还泄露了用户密码提示问题及答案,而且这个数据应该是用其他网站泄露的账号密码“撞库”也无法获取的,因此建议大家“改密码的同时也将密码提示答案进行更新修改”。
此消息瞬即引发网上一场轩然大波,网易内部也是高度重视。据内部人士透露,CEO丁磊在得知消息后几乎第一时间冲出房间找技术部人士彻查原因。
昨日傍晚,网易公司再次“郑重声明”,称乌云的这则消息不实,经严密技术排查,网易邮箱不存在自身数据泄露问题,事件原因还是黑客“撞库”所致,并特别提醒用户,不建议在安全级别较低的普通网站使用与个人邮箱,金融支付等高安全需求平台相同的账号密码体系。
网易公告中并没有提及乌云报告中所说的漏洞是否存在,但有公关部人士私下表示,乌云提交的一批“已泄露账户”经查发现部分不存在,部分账号密码错误,乌云方已撤回重新审核,并将网站上的公告改为“某邮箱”。