根据乌云漏洞平台10月19日下午提交的信息,正式确认了网易邮箱(126/163)的用户数据库泄漏,影响上将近5亿用户,泄漏的信息包括邮箱账号,用户密码,密保问题/提示,注册IP,生日等。
猎豹移动安全专家李铁军称指出因为找回密码的问题及答案的MD5值也已经泄露,攻击者将可以修改这些信息,而邮箱主人将几乎丧失控制权。由此也将导致邮箱关联的其他服务被盗。
由于密保都已经被泄漏,此次已经不是简单的被撞库,而是数据泄漏。
近日,很多网友在微博上反映网易邮箱被暴力破解,邮箱内容遭到泄露,用户使用网易邮箱绑定的其它账户都受到了波及。更有不少iPhone手机用户表示,自己使用网易邮箱绑定Apple ID的手机已经被锁,并被擦除数据。这些iCloud被黑,手机被锁敲诈事件的共同点都指向绑定了网易邮箱。用网易邮箱注册Apple ID的苹果用户,都被发现了Apple ID被迅速修改的问题。
对此,@网易免费邮箱 昨日下午还在微博上进行了辟谣,称数据并未泄漏,此次攻击与网易无关。
因为网易邮箱往往被用于注册暴雪旗下的游戏账户,并且很多人的密码是一样的,意味着你的银行,网盘甚至微博微信等账户密码都已经泄漏,所以此次泄漏影响和危害极大。另外乌云漏洞平台给出了一个检查办法,登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,以及异地登陆提醒邮件,如有异常请尽快修改。
建议立即修改自己的网易126/163邮箱密码以及密码提示(如非必要,建议直接弃用),以及你所能想到的所有使用该邮箱注册的账号和用了同样密码的帐户的密码,将苹果设备开启两步验证(https://appleid.apple.com/cn),定时更新自己各个帐户的密码,所有账户密码都设置为不一样的含有字符串的复杂密码,建议使用类似「1Password」这样的密码管理软件管理不同的密码。
今晚@网易免费邮箱 又发了一条长微博声称此处泄漏与自己无关,并且保留追究恶意中伤者法律责任。因为厂商并不认为出了问题,我们只好等待乌云漏洞平台的白帽子公开漏洞细节了。乌云漏洞平台上现在已经将网易邮箱漏洞更改为某邮箱漏洞。(附声明)
缺陷编号: WooYun-2015-147763
漏洞标题: 网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等)
相关厂商: 网易
漏洞作者: 路人甲
提交时间: 2015-10-19 13:57
公开时间: 2015-12-03 13:57
漏洞类型: 用户资料大量泄漏
危害等级: 高
漏洞状态: 等待厂商处理
漏洞来源: http://www.wooyun.org
Tags标签: 无
评论(0)