<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("网易,邮箱,数据泄露") PageTitle=stripHTML("网易,你丫闭嘴") ArticleIntro=stripHTML("很不幸,网易163邮箱用户数据泄露的事情,应该是真的。据不愿意透露姓名的人士透露,问题很严重,应该有5亿条用户数据。。。") Articlecontent=stripHTML("           很不幸,网易163邮箱用户数据泄露的事情,应该是真的。  据不愿意透露姓名的人士透露,问题很严重,应该有5亿条用户数据。。。   在讲此事…") ModuleName = stripHTML("news") InfoID = stripHTML("214411") ChannelShortName=stripHTML("资讯") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("news") %> 网易,你丫闭嘴 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 资讯 >> 最新新闻 >> 正文

[组图]网易,你丫闭嘴

2015/10/20 作者:差评 来源: 差评
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

      

 

 

  很不幸,网易163邮箱用户数据泄露的事情,应该是真的。

  据不愿意透露姓名的人士透露,问题很严重,应该有5亿条用户数据。。。

 

  在讲此事之前,差评君先科普两个小概念:“拖库”和“撞库”

  “拖库”指黑客突破漏洞后,直接将数据库下载到本地,于是整个网站所有用户的账号密码,get!!

  “撞库”指黑客收集网上已经泄露的用户数据,去撞其他网站的数据库。比如你在某个网站的账号和密码泄露了,他们就会用这套账号密码,去撞你的支付宝,撞你的apple ID,撞你的百度网盘。。坦白说,撞对的几率挺大的。

  正文,

  不知道最近大家身边的朋友,有没有遇到苹果手机被锁,然后被敲竹杠的事儿~

 

 

 

  这当然不是恶作剧,低端黑客(高端黑客没这么猥琐)在劫持了你的Apple ID后,开启丢失模式,直接锁死你的iPhone。。。

  然后又篡改了你的Apple ID和密保问题。。

  所以,很不幸,你想自己激活基本没可能。。

  (再提醒一遍,iCould里面不要放床照)

  那加下黑客的qq吧,敲竹杠过程开始...

  注意是163邮箱。。。

 

  好一个盗亦有道。。

 

  另一帮黑客的回答,更为专业,还有标准定价。。。

 

  差评君微博上搜了下,受害者基本上都是网易邮箱的用户。。。

  受害面积不仅仅是苹果产品。。。

 

  卧槽!!!!!刚刚准备用支付宝给钱然后说我支付密码不对!!!!!然后登录不了支付宝!!再登录了支付宝账号关联的163邮箱发现被人用客户端删光了以前的邮件!!奶奶的!!不要吓我!!!![抓狂][抓狂][抓狂][抓狂][抓狂]

 

  网易邮箱最近被暴力破解了,所有关联163邮箱的人立刻改密码!尽管网易已经辟谣,可是他妈的我的支付宝里面已经有了莫名其妙的订单……幸好我的支付密码和邮箱密码不一致。你滚犊子吧!@网易免费邮箱

  大概这类事件发生的时间均在10月初至10月中旬。

  “恩,这绝对是巧合!!跟我们无关,就算是泄露了,也是你以前上了不该上的网站的缘故!”

 

  以上是昨天网易邮箱官微声明的基本内容。。差评君简要地翻译了下,不谢。。

  原文如下:

 

  呵呵,前两天出过事的支付宝也是这鸟态度:都是用户自己的错,我们是不可能犯错的。

  (今天最开心估计就是支付宝的公关了,差评君在此再贴下那条转发4万多的支付宝漏洞微博,希望他们不要忘记的这么快.)

 

  然而,这报应来得真快,网易昨天的声明,今天下午就被打脸了。

  乌云漏洞报告平台在昨天下午4点40报告了网易邮箱的问题。

 

  不好意思,差评君截图晚了,乌云已被公关。。。

 

  漏洞的描述是这样的:

  数据过亿交易证明数据/包含邮箱密码密保信息/登陆ip以及用户生日等,其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。

  说三点:

  密保问题都被突破了,你跟我说这是撞库?!

 

  51.3G,你跟我说是仅是部分用户的隐私泄露?!

 

  密码是MD5存储,这算法也太小儿科了吧,这么嫌麻烦你直接用明文好了。。。

 

  关于这部分数据呢,乌云漏洞报告平台的猪猪侠同学表示“价值很高,新鲜度很高!”:

  通过乌云官方微博给出的信息,在google上搜索到 site:pastebin.com 163 mail 一份样本,与 互联网已泄露的12亿条公开数据 进行关联性匹配分析,发现这批样本数据与已泄露的数据交叉耦合度非常低,按照黑产的话说:“价值很高,新鲜度很高”!

  他说的12亿条公开数据在这里:

 

  是不是突然间淡定了许多?

 

  一般来说呢,这些数据在地下黑产业会经历以下五步:

  1.漏洞出现,数据泄露

  2.高端黑客间高质量数据的交换买卖

  3.撞第三方支付平台密码,游戏洗号,撞其他交易相关类网站

  4.第二次数据买卖,诈骗,iCloud敲诈

  5.数据流出

  现在基本上已经走到了,第四步。

  所以,业内的朋友认为,这批数据可能在半年前就已经泄露了..

  不过可惜啊,可惜,就在傍晚,脸已经被打肿了的网易,仍旧死猪不怕开水烫,再发了一条微博:

 

  #微博辟谣# 今日谣传网易邮箱出现数据泄露,网易邮箱团队现郑重声明,此报道不实。本次事件经严密技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码,其他网站的帐号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。公告全文如下。

  网易———一个有态度的门户网站,这就是你们的态度?

  都被人家扒光了,还装坚挺是吧?

 

  看看你们内部的人是怎么说的吧:

  关于网易账号泄露的问题. 我想说, 网易的统一认证 URS 系统, 我从 2004 年开始吐槽到 2011 年离开网易. 期间专门写千字以上的邮件不下三次, 专门开过好几次会都没用. 负责人换了几拨, 没有人意识到安全问题有多严重. 每次的反应大概就是: 你好像说的很有道理,但是我听不明白. 这次有教训了吧?

  恩,这次有教训了吗?