网易,你丫闭嘴

业界 作者:站内编辑 2015-10-20 04:47:41

很不幸,今天网易163邮箱用户数据泄露的事情,应该是真的。

据不愿意透露姓名的人士透露,问题很严重,应该有5亿条用户数据。。。

网易邮箱1

在讲此事之前,差评君先科普两个小概念:“拖库”和“撞库”

“拖库”指黑客突破漏洞后,直接将数据库下载到本地,于是整个网站所有用户的账号密码,get!!

“撞库”指黑客收集网上已经泄露的用户数据,去撞其他网站的数据库。比如你在某个网站的账号和密码泄露了,他们就会用这套账号密码,去撞你的支付宝,撞你的apple ID,撞你的百度网盘。。坦白说,撞对的几率挺大的。

正文,

不知道最近大家身边的朋友,有没有遇到苹果手机被锁,然后被敲竹杠的事儿~

网易邮箱2 网易邮箱3

这当然不是恶作剧,低端黑客(高端黑客没这么猥琐)在劫持了你的Apple ID后,开启丢失模式,直接锁死你的iPhone。。。

然后又篡改了你的Apple ID和密保问题。。

所以,很不幸,你想自己激活基本没可能。。

(再提醒一遍,iCould里面不要放床照

那加下黑客的qq吧,敲竹杠过程开始...

注意是163邮箱。。。

网易邮箱4

好一个盗亦有道。。

网易邮箱5

另一帮黑客的回答,更为专业,还有标准定价。。。

网易邮箱6

差评君微博上搜了下,受害者基本上都是网易邮箱的用户。。。

受害面积不仅仅是苹果产品。。。

网易邮箱7

卧槽!!!!!刚刚准备用支付宝给钱然后说我支付密码不对!!!!!然后登录不了支付宝!!再登录了支付宝账号关联的163邮箱发现被人用客户端删光了以前的邮件!!奶奶的!!不要吓我!!!![抓狂][抓狂][抓狂][抓狂][抓狂]

网易邮箱8

网易邮箱最近被暴力破解了,所有关联163邮箱的人立刻改密码!尽管网易已经辟谣,可是他妈的我的支付宝里面已经有了莫名其妙的订单……幸好我的支付密码和邮箱密码不一致。你滚犊子吧!@网易免费邮箱

大概这类事件发生的时间均在10月初至10月中旬。

“恩,这绝对是巧合!!跟我们无关,就算是泄露了,也是你以前上了不该上的网站的缘故!”

以上是昨天网易邮箱官微声明的基本内容。。差评君简要地翻译了下,不谢。。

原文如下:

网易邮箱9

呵呵,前两天出过事的支付宝也是这鸟态度:都是用户自己的错,我们是不可能犯错的。

(今天最开心估计就是支付宝的公关了,差评君在此再贴下那条转发4万多的支付宝漏洞微博,希望他们不要忘记的这么快.)

网易邮箱10

然而,这报应来得真快,网易昨天的声明,今天下午就被打脸了。

乌云漏洞报告平台在今天下午4点40报告了网易邮箱的问题。

网易邮箱11

不好意思,差评君截图晚了,乌云已被公关。。。

网易邮箱12

漏洞的描述是这样的:

数据过亿交易证明数据/包含邮箱密码密保信息/登陆ip以及用户生日等,其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。

说三点:

密保问题都被突破了,你跟我说这是撞库?!

网易邮箱13

51.3G,你跟我说是仅是部分用户的隐私泄露?!

网易邮箱14

密码是MD5存储,这算法也太小儿科了吧,这么嫌麻烦你直接用明文好了。。。

网易邮箱15

想解密,so easy..

关于这部分数据呢,乌云漏洞报告平台的猪猪侠同学表示“价值很高,新鲜度很高!”:

通过乌云官方微博给出的信息,在google上搜索到 site:pastebin.com 163 mail 一份样本,与 互联网已泄露的12亿条公开数据 进行关联性匹配分析,发现这批样本数据与已泄露的数据交叉耦合度非常低,按照黑产的话说:“价值很高,新鲜度很高”!

他说的12亿条公开数据在这里:

网易邮箱16

是不是突然间淡定了许多?

一般来说呢,这些数据在地下黑产业会经历以下五步:

1.漏洞出现,数据泄露

2.高端黑客间高质量数据的交换买卖

3.撞第三方支付平台密码,游戏洗号,撞其他交易相关类网站

4.第二次数据买卖,诈骗,iCloud敲诈

5.数据流出

现在基本上已经走到了,第四步。

所以,业内的朋友认为,这批数据可能在半年前就已经泄露了..

不过可惜啊,可惜,就在傍晚,脸已经被打肿了的网易,仍旧死猪不怕开水烫,再发了一条微博:

网易邮箱17

#微博辟谣# 今日谣传网易邮箱出现数据泄露,网易邮箱团队现郑重声明,此报道不实。本次事件经严密技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码,其他网站的帐号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。公告全文如下。

网易———一个有态度的门户网站,这就是你们的态度?

都被人家扒光了,还装坚挺是吧?

看看你们内部的人是怎么说的吧:

网易邮箱18

关于网易账号泄露的问题. 我想说, 网易的统一认证 URS 系统, 我从 2004 年开始吐槽到 2011 年离开网易. 期间专门写千字以上的邮件不下三次, 专门开过好几次会都没用. 负责人换了几拨, 没有人意识到安全问题有多严重. 每次的反应大概就是: 你好像说的很有道理,但是我听不明白. 这次有教训了吧?

恩,这次有教训了吗?

文章来源微信公众号【差评】

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接