昨天下午,国内安全网络反馈平台WooYun(乌云)发布消息称,网易的用户数据库疑似泄露,影响数量总共数亿条,涉及邮箱账号、密码、用户密保等。这一漏洞危害等级被标注为“高”。对此网易回应称,该消息不实。但网易并未否认“泄露事件”,只是称“事件是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,被不法分子利用而导致”。
事件
乌云:网易用户数据疑泄露
乌云发布消息称:10月19日,有白帽子报告,网易的用户数据库疑似泄露,影响数量总共近5亿条,泄露信息包括用户名、密码(MD5)、密码提示问题/答案(MD5)、注册IP、生日等。
乌云方面发布的消息中还称,有很多网友抱怨的iCloud账号被黑、绑定的iPhone手机被敲诈事件,都有一个共性,就是都采用了网易邮箱作为iCloud账号。消息中贴出的用户聊天记录显示,有用户称联系苹果ID管理部门,客服称账号被盗全是因为网易邮箱,“说他们都忙炸了这两天,说我后面还有700多通转接来电在排队,可想而知有多少人中招”,一名用户在微信中这样描述自己的遭遇。乌云方面相关负责人表示,上述情况或与网易邮箱数据泄露有关。
对此,乌云方面也给出了以下几点应对方案:首先,用自己的163账号密码,登录reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,还需要留意异地登录提醒邮件;其次,如果发现有异常,需要赶紧修改网易邮箱密码,同时开启邮箱的安全防护功能;最后,改掉所有利用网易注册服务的密码与绑定关系,如:淘宝、支付宝、iCloud、QQ等。
日前,有网友和媒体称,网易邮箱在10月14日被全面暴力破解,以网易邮箱注册或者与其关联的任何账号都受到安全威胁,包括苹果AppleID、微博、支付宝、百度云盘、游戏等。网易邮箱官方微博在10月18日发表声明,对这一说法予以否认,称网易邮箱数据库不存在被攻击和泄露情况,而是黑客在其他网站获取了与网易邮箱同名的账号和密码,并以此登录。
回应
网易:不存在自身数据泄露
对于乌云的报告,网易方面立即发布声明称:该消息不实。
网易声明称,网易邮箱拥有国内最高等级,同时也是邮件系统领域唯一的最高级别的安全证书EAL3+,是最值得信赖的账号系统之一。同时网易邮箱在安全技术领域持续升级,保持领先地位。经严密的技术排查,网易邮箱不存在自身数据泄露问题,此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,其他网站的账号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成的。
网易邮箱团队提醒广大用户,不建议在安全级别较低的普通网站使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。避免在普通网站的账号信息泄露后,影响到高安全需求平台的账号安全。
网易方面称,对任何恶意中伤的不实报道,将保留追究法律责任的权利。针对此事件,公司已经报警。
对于网易方面的回应,乌云相关负责人表示:“我们的态度不变。”