關(guān)于網(wǎng)易郵箱密碼泄露，別著急，咱們要先搞清楚三個問題。

這三個問題是：

1、拖庫還是撞庫？

2、責(zé)任在于誰？

3、我該怎么辦？

想搞清這三個問題，請繼續(xù)閱讀：

拖庫還是撞庫，烏云與網(wǎng)易各執(zhí)一詞

1、烏云首發(fā)：網(wǎng)易郵箱疑遭“拖庫”

19日下午13:57，烏云漏洞平臺用戶“路人甲”發(fā)布信息，“網(wǎng)易163/126郵箱過億數(shù)據(jù)泄露（涉及郵箱賬號/密碼/用戶密保等）”，并且漏洞的危害等級為“高”，狀態(tài)為等廠商處理。

到了下午16:40，“路人甲”隱去了網(wǎng)易的名號，將漏洞名稱改為“某郵箱”，而且漏洞狀態(tài)改為，“已交由第三方合作機構(gòu)(cncert國家互聯(lián)網(wǎng)應(yīng)急中心)處理”。

按照網(wǎng)絡(luò)安全界的說法，這等于網(wǎng)易郵箱被“拖庫”，是指網(wǎng)站遭到入侵后，黑客竊取了數(shù)據(jù)庫。

2、網(wǎng)易回應(yīng)：不是“拖庫”是“撞庫”

在18日下午和19日下午，網(wǎng)易郵箱官方兩次發(fā)布公告回應(yīng)。在網(wǎng)易郵箱的回應(yīng)中，否認(rèn)了被拖庫，而認(rèn)為是被撞庫而已，即其他網(wǎng)站的數(shù)據(jù)泄露導(dǎo)致用戶的網(wǎng)易郵箱信息間接泄露。

18日下午的公告表示“網(wǎng)易郵箱數(shù)據(jù)庫不存在被攻擊和泄露情況，黑客獲得部分用戶在其他網(wǎng)站與網(wǎng)易郵箱同名的賬號和密碼，并以此賬號和密碼來嘗試在其他網(wǎng)站的登陸，并非網(wǎng)易郵箱數(shù)據(jù)庫泄露。”

19日下午的公告再次表示，“此次事件，是由于部分用戶在其他網(wǎng)站使用了和網(wǎng)易郵箱相同的賬號密碼，其他網(wǎng)站的賬號信息泄露，被不法分子利用，僥幸嘗試登陸網(wǎng)易郵箱造成?！?/p>

同時，網(wǎng)易郵箱還表示，“不建議在安全級別較低的普通網(wǎng)站使用與個人郵箱、金融支付等高安全需求平臺相同的賬號密碼體系。避免在普通網(wǎng)站的賬號信息泄露后，影響到您在高安全需求平臺的賬號安全。

3、烏云質(zhì)疑：并非“撞庫”

19日下午，烏云再次回應(yīng)，“其中部分?jǐn)?shù)據(jù)已經(jīng)在互聯(lián)網(wǎng)流傳，同時這次密碼泄露似乎也沒有改密碼就能解決這么簡單。因為還泄露了用戶密碼提示問題&答案(hash處理)，而且這個數(shù)據(jù)應(yīng)該是“撞庫”無法獲取的，建議大家改密碼的同時也將密碼提示答案進行更新修改！ ”

4、據(jù)安在了解

根據(jù)網(wǎng)上疑似泄露數(shù)據(jù)驗證，其中不少用戶信息是新鮮的，這意味著，有不少用戶信息是最新被泄露出來。而且，樣品中確實有不少是密碼保護問題，這不是撞庫能解釋的。至于信息泄露的原因，很可能在于網(wǎng)易郵箱的API接口。不過，真實原因仍有待驗證。

消息滿天飛 責(zé)任在于誰？

1、烏云首先報告漏洞，漏洞發(fā)布平臺扮演什么角色？

按照烏云的機制，通常漏洞發(fā)現(xiàn)后一定是先報給廠商的，有一定期限；如果廠商不回應(yīng)，顯示在社區(qū)內(nèi)小范圍內(nèi)公開；再過一段時間不回應(yīng)，就直接公布了，因為當(dāng)一家廠商的漏洞牽涉到泄露廣大用戶的信息，這就是公眾利益，廠商不能藏著掖著，平臺有責(zé)任向用戶告知。

2、如果網(wǎng)易確實有漏洞，將會承擔(dān)什么責(zé)任？

目前看來，中國幾乎沒有企業(yè)由于信息泄露而承擔(dān)責(zé)任的。比如此前的小米、攜程等。

首先是責(zé)任認(rèn)定難。企業(yè)是否真的存在漏洞，如果企業(yè)自己不承認(rèn)，也缺少權(quán)威第三方來認(rèn)定漏洞責(zé)任。所以，因為漏洞導(dǎo)致信息泄露在中國最多是道德問題，而不是經(jīng)濟問題或法律問題。

其次是責(zé)任處罰難。在網(wǎng)易郵箱的隱私政策里，也明確表示“但請您諒解，由于技術(shù)的限制以及風(fēng)險防范的局限，即便我們已經(jīng)盡量加強安全措施，也無法始終保證信息百分之百的安全。您需要了解，您接入我們的服務(wù)所用的系統(tǒng)和通訊網(wǎng)絡(luò)，有可能因我們可控范圍外的情況而發(fā)生問題?！笨梢哉J(rèn)為，這就等于自我免責(zé)。

郵箱信息泄露 用戶該怎么辦？

安在建議：

1.修改郵箱密碼保護問題和密碼；

2.不建議登陸所謂的驗證密碼是否泄漏的網(wǎng)站查詢，因為這種查詢網(wǎng)站本身動機也未必安全。

3.修改用該郵箱綁定的第三方服務(wù)，比如icloud，淘寶等，因為這個安全郵箱已經(jīng)不再安全了。

安在評論：網(wǎng)絡(luò)安全永遠在路上

?安言咨詢總經(jīng)理張耀疆認(rèn)為：

拖庫這個問題一共三種情況，一是已經(jīng)被拖了，二是已經(jīng)被拖了可是大家還不知道，三是正走在被拖的路上。

當(dāng)年從CSDN賬號泄漏開始，一系列“脫褲”事件就層出不窮了，網(wǎng)易是否也在其列，雖然還有待時間驗證，但這也應(yīng)了那句老話：“很多時候，不是說你沒被黑，而是你被黑了還不知道。

網(wǎng)易雖然表示信息泄露是由于用戶信息在別處泄露所致，但是這并沒有回復(fù)漏洞是否存在。如果事情一旦坐實，這里面透出嚴(yán)重的理念和管理問題，一家堂堂的互聯(lián)網(wǎng)大公司，居然如此輕待安全，無論如何是說不過去的。這里想說的就是第二條：也許你被黑你還不知道，可還有多少時間，其實是你裝作不知道呢？

看似簡單而古老的賬戶及密碼問題，牽一發(fā)而動全身，以及互聯(lián)網(wǎng)世界里難于獨善的特點，會一個點帶動整個面。如果網(wǎng)易都可能存在漏洞，誰又能幸免？這就是我想說的第三句：“即便你真的還沒被黑，你也一定是走在將要被黑的路上，區(qū)別只在于路遠路近而已”。所以，對于網(wǎng)絡(luò)企業(yè)而言，業(yè)務(wù)做大之后，如何在安全這塊做強，是一個早晚都要面對的問題。

?啟明星辰副總裁歐陽梅雯表示：

目前大概有數(shù)億中國用戶的常用密碼流落在外，基本上三年沒改過的密碼可以認(rèn)為已經(jīng)暴露。

我一直都會假定自己的所有設(shè)備都會被黑，所有賬號密碼都泄漏了，所有的安全措施都可能失效，根據(jù)這個來確定自己的信息安全策略，至少不會經(jīng)常受到“驚嚇”。

網(wǎng)絡(luò)安全是技術(shù)活

網(wǎng)易郵箱漏洞事件中，還出現(xiàn)了一個小插曲，某電視臺在報道中還出了一個烏龍事件，將上海的ucloud當(dāng)做烏云漏洞平臺，實際上，ucloud是一家國內(nèi)知名的云服務(wù)公司，這樣躺槍，也讓ucloud哭笑不得。歸根到底，網(wǎng)絡(luò)安全是個技術(shù)活。

【作者介紹】葉健。另外，如想了解更多網(wǎng)絡(luò)安全，可關(guān)注信息安全新媒體——安在

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。