關(guān)于網(wǎng)易郵箱密碼泄露，別著急，咱們要先搞清楚三個(gè)問(wèn)題。

這三個(gè)問(wèn)題是：

1、拖庫(kù)還是撞庫(kù)？

2、責(zé)任在于誰(shuí)？

3、我該怎么辦？

想搞清這三個(gè)問(wèn)題，請(qǐng)繼續(xù)閱讀：

拖庫(kù)還是撞庫(kù)，烏云與網(wǎng)易各執(zhí)一詞

1、烏云首發(fā)：網(wǎng)易郵箱疑遭“拖庫(kù)”

19日下午13:57，烏云漏洞平臺(tái)用戶“路人甲”發(fā)布信息，“網(wǎng)易163/126郵箱過(guò)億數(shù)據(jù)泄露（涉及郵箱賬號(hào)/密碼/用戶密保等）”，并且漏洞的危害等級(jí)為“高”，狀態(tài)為等廠商處理。

到了下午16:40，“路人甲”隱去了網(wǎng)易的名號(hào)，將漏洞名稱改為“某郵箱”，而且漏洞狀態(tài)改為，“已交由第三方合作機(jī)構(gòu)(cncert國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)處理”。

按照網(wǎng)絡(luò)安全界的說(shuō)法，這等于網(wǎng)易郵箱被“拖庫(kù)”，是指網(wǎng)站遭到入侵后，黑客竊取了數(shù)據(jù)庫(kù)。

2、網(wǎng)易回應(yīng)：不是“拖庫(kù)”是“撞庫(kù)”

在18日下午和19日下午，網(wǎng)易郵箱官方兩次發(fā)布公告回應(yīng)。在網(wǎng)易郵箱的回應(yīng)中，否認(rèn)了被拖庫(kù)，而認(rèn)為是被撞庫(kù)而已，即其他網(wǎng)站的數(shù)據(jù)泄露導(dǎo)致用戶的網(wǎng)易郵箱信息間接泄露。

18日下午的公告表示“網(wǎng)易郵箱數(shù)據(jù)庫(kù)不存在被攻擊和泄露情況，黑客獲得部分用戶在其他網(wǎng)站與網(wǎng)易郵箱同名的賬號(hào)和密碼，并以此賬號(hào)和密碼來(lái)嘗試在其他網(wǎng)站的登陸，并非網(wǎng)易郵箱數(shù)據(jù)庫(kù)泄露?！?/p>

19日下午的公告再次表示，“此次事件，是由于部分用戶在其他網(wǎng)站使用了和網(wǎng)易郵箱相同的賬號(hào)密碼，其他網(wǎng)站的賬號(hào)信息泄露，被不法分子利用，僥幸嘗試登陸網(wǎng)易郵箱造成?！?/p>

同時(shí)，網(wǎng)易郵箱還表示，“不建議在安全級(jí)別較低的普通網(wǎng)站使用與個(gè)人郵箱、金融支付等高安全需求平臺(tái)相同的賬號(hào)密碼體系。避免在普通網(wǎng)站的賬號(hào)信息泄露后，影響到您在高安全需求平臺(tái)的賬號(hào)安全。

3、烏云質(zhì)疑：并非“撞庫(kù)”

19日下午，烏云再次回應(yīng)，“其中部分?jǐn)?shù)據(jù)已經(jīng)在互聯(lián)網(wǎng)流傳，同時(shí)這次密碼泄露似乎也沒(méi)有改密碼就能解決這么簡(jiǎn)單。因?yàn)檫€泄露了用戶密碼提示問(wèn)題&答案(hash處理)，而且這個(gè)數(shù)據(jù)應(yīng)該是“撞庫(kù)”無(wú)法獲取的，建議大家改密碼的同時(shí)也將密碼提示答案進(jìn)行更新修改！ ”

4、據(jù)安在了解

根據(jù)網(wǎng)上疑似泄露數(shù)據(jù)驗(yàn)證，其中不少用戶信息是新鮮的，這意味著，有不少用戶信息是最新被泄露出來(lái)。而且，樣品中確實(shí)有不少是密碼保護(hù)問(wèn)題，這不是撞庫(kù)能解釋的。至于信息泄露的原因，很可能在于網(wǎng)易郵箱的API接口。不過(guò)，真實(shí)原因仍有待驗(yàn)證。

消息滿天飛 責(zé)任在于誰(shuí)？

1、烏云首先報(bào)告漏洞，漏洞發(fā)布平臺(tái)扮演什么角色？

按照烏云的機(jī)制，通常漏洞發(fā)現(xiàn)后一定是先報(bào)給廠商的，有一定期限；如果廠商不回應(yīng)，顯示在社區(qū)內(nèi)小范圍內(nèi)公開(kāi)；再過(guò)一段時(shí)間不回應(yīng)，就直接公布了，因?yàn)楫?dāng)一家廠商的漏洞牽涉到泄露廣大用戶的信息，這就是公眾利益，廠商不能藏著掖著，平臺(tái)有責(zé)任向用戶告知。

2、如果網(wǎng)易確實(shí)有漏洞，將會(huì)承擔(dān)什么責(zé)任？

目前看來(lái)，中國(guó)幾乎沒(méi)有企業(yè)由于信息泄露而承擔(dān)責(zé)任的。比如此前的小米、攜程等。

首先是責(zé)任認(rèn)定難。企業(yè)是否真的存在漏洞，如果企業(yè)自己不承認(rèn)，也缺少權(quán)威第三方來(lái)認(rèn)定漏洞責(zé)任。所以，因?yàn)槁┒磳?dǎo)致信息泄露在中國(guó)最多是道德問(wèn)題，而不是經(jīng)濟(jì)問(wèn)題或法律問(wèn)題。

其次是責(zé)任處罰難。在網(wǎng)易郵箱的隱私政策里，也明確表示“但請(qǐng)您諒解，由于技術(shù)的限制以及風(fēng)險(xiǎn)防范的局限，即便我們已經(jīng)盡量加強(qiáng)安全措施，也無(wú)法始終保證信息百分之百的安全。您需要了解，您接入我們的服務(wù)所用的系統(tǒng)和通訊網(wǎng)絡(luò)，有可能因我們可控范圍外的情況而發(fā)生問(wèn)題?！笨梢哉J(rèn)為，這就等于自我免責(zé)。

郵箱信息泄露 用戶該怎么辦？

安在建議：

1.修改郵箱密碼保護(hù)問(wèn)題和密碼；

2.不建議登陸所謂的驗(yàn)證密碼是否泄漏的網(wǎng)站查詢，因?yàn)檫@種查詢網(wǎng)站本身動(dòng)機(jī)也未必安全。

3.修改用該郵箱綁定的第三方服務(wù)，比如icloud，淘寶等，因?yàn)檫@個(gè)安全郵箱已經(jīng)不再安全了。

安在評(píng)論：網(wǎng)絡(luò)安全永遠(yuǎn)在路上

?安言咨詢總經(jīng)理張耀疆認(rèn)為：

拖庫(kù)這個(gè)問(wèn)題一共三種情況，一是已經(jīng)被拖了，二是已經(jīng)被拖了可是大家還不知道，三是正走在被拖的路上。

當(dāng)年從CSDN賬號(hào)泄漏開(kāi)始，一系列“脫褲”事件就層出不窮了，網(wǎng)易是否也在其列，雖然還有待時(shí)間驗(yàn)證，但這也應(yīng)了那句老話：“很多時(shí)候，不是說(shuō)你沒(méi)被黑，而是你被黑了還不知道。

網(wǎng)易雖然表示信息泄露是由于用戶信息在別處泄露所致，但是這并沒(méi)有回復(fù)漏洞是否存在。如果事情一旦坐實(shí)，這里面透出嚴(yán)重的理念和管理問(wèn)題，一家堂堂的互聯(lián)網(wǎng)大公司，居然如此輕待安全，無(wú)論如何是說(shuō)不過(guò)去的。這里想說(shuō)的就是第二條：也許你被黑你還不知道，可還有多少時(shí)間，其實(shí)是你裝作不知道呢？

看似簡(jiǎn)單而古老的賬戶及密碼問(wèn)題，牽一發(fā)而動(dòng)全身，以及互聯(lián)網(wǎng)世界里難于獨(dú)善的特點(diǎn)，會(huì)一個(gè)點(diǎn)帶動(dòng)整個(gè)面。如果網(wǎng)易都可能存在漏洞，誰(shuí)又能幸免？這就是我想說(shuō)的第三句：“即便你真的還沒(méi)被黑，你也一定是走在將要被黑的路上，區(qū)別只在于路遠(yuǎn)路近而已”。所以，對(duì)于網(wǎng)絡(luò)企業(yè)而言，業(yè)務(wù)做大之后，如何在安全這塊做強(qiáng)，是一個(gè)早晚都要面對(duì)的問(wèn)題。

?啟明星辰副總裁歐陽(yáng)梅雯表示：

目前大概有數(shù)億中國(guó)用戶的常用密碼流落在外，基本上三年沒(méi)改過(guò)的密碼可以認(rèn)為已經(jīng)暴露。

我一直都會(huì)假定自己的所有設(shè)備都會(huì)被黑，所有賬號(hào)密碼都泄漏了，所有的安全措施都可能失效，根據(jù)這個(gè)來(lái)確定自己的信息安全策略，至少不會(huì)經(jīng)常受到“驚嚇”。

網(wǎng)絡(luò)安全是技術(shù)活

網(wǎng)易郵箱漏洞事件中，還出現(xiàn)了一個(gè)小插曲，某電視臺(tái)在報(bào)道中還出了一個(gè)烏龍事件，將上海的ucloud當(dāng)做烏云漏洞平臺(tái)，實(shí)際上，ucloud是一家國(guó)內(nèi)知名的云服務(wù)公司，這樣躺槍，也讓ucloud哭笑不得。歸根到底，網(wǎng)絡(luò)安全是個(gè)技術(shù)活。

【作者介紹】葉健。另外，如想了解更多網(wǎng)絡(luò)安全，可關(guān)注信息安全新媒體——安在

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。