免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
1234下一页
最近访问板块 发新帖
查看: 20760 | 回复: 39

【大话IT】爆网易邮箱被破解官方否认乌云扇脸 [复制链接]

论坛徽章:
11
CU大牛徽章
日期:2013-03-13 15:32:35IT运维版块每周发帖之星
日期:2015-11-06 19:28:13IT运维版块每日发帖之星
日期:2015-10-13 06:20:00IT运维版块每日发帖之星
日期:2015-09-27 06:20:00IT运维版块每日发帖之星
日期:2015-09-19 06:20:00CU大牛徽章
日期:2013-03-14 14:14:29CU大牛徽章
日期:2013-03-14 14:14:26CU大牛徽章
日期:2013-03-14 14:14:08CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-13 15:38:15IT运维版块每日发帖之星
日期:2016-01-01 06:20:00
发表于 2015-10-20 10:14 |显示全部楼层
背景:2015年10月17日晚间,越来越多网友在微博上反映称网易邮箱被破解,邮箱内容遭到泄露,用户使用网易邮箱绑定的其他账户都受到了波及。更有不少iPhone手机用户表示,使用网易邮箱绑定Apple ID的手机已经被锁,并被擦除数据。

官方回应:“网易邮箱数据库不存在被攻击和泄露的情况,黑客获得部分用户在其他网站与网易邮箱同名的账号和密码,并以此账号密码尝试在其他网站登录,并非网易邮箱数据库泄露。”
捕获.JPG

但随后乌云平台上用户“路人甲”提交了这份漏洞,称“网易163/126邮箱过亿数据泄露(涉及邮箱账号/密码/用户密保等)。其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登录”。目前,该漏洞的状态显示为“细节已通知厂商并且等待厂商处理中,且已交由第三方合作机构(cncert国家互联网应急中心)处理”。

建议同学们立即采取以下安全措施:‘

1. 立即修改网易邮箱的密码,同步修改以网易邮箱做用户名的其他账号体系的密码;

2. 本地留存好备份,删除所有网盘中的工作相关、个人隐私信息及文件,防止被恶意利用;

3. 针对苹果用户,请立即修改Apple ID 密码,并开启两步验证,防止硬件被攻击变砖;

活动时间:2015年10月20日—11月20日


讨论话题:
1、对于邮箱是否会定期修改密码的习惯?
2、你是否会对每一个账户拥有一组密码,避免撞库威胁?
3、你们公司邮箱是自建还是采用商业邮箱?
4、对于企业邮箱安全你们都采取了哪些措施?
5、对于网易此次事件你有什么看法?

  撞库:现在各大网站泄露的账号密码的数据库,用机器方式一个个去登录攻击目标网站,看哪个成功。比如在网站A盗了a用户,在网站B盗了b用户,黑客就会相互共享,一起用两个账号密码来试CDEF……等其他网站,看哪个可以成功打开。


奖品设置:
活动结束之后,我们将选取2名最佳评论奖,送锐捷野餐包套装。

P51020-142028.jpg

活动结束后,额外选取3名参与奖,赠送CU可用积分2500分。(不愿选择积分奖励的,可换取图书徽章一枚,或选择技术图书1本

论坛徽章:
301
射手座
日期:2013-08-23 12:04:38射手座
日期:2013-08-23 16:18:12未羊
日期:2013-08-30 14:33:15水瓶座
日期:2013-09-02 16:44:31摩羯座
日期:2013-09-25 09:33:52双子座
日期:2013-09-26 12:21:10金牛座
日期:2013-10-14 09:08:49申猴
日期:2013-10-16 13:09:43子鼠
日期:2013-10-17 23:23:19射手座
日期:2013-10-18 13:00:27金牛座
日期:2013-10-18 15:47:57午马
日期:2013-10-18 21:43:38
发表于 2015-10-20 14:51 |显示全部楼层
1、对于邮箱是否会定期修改密码的习惯?
没有

2、你是否会对每一个账户拥有一组密码,避免撞库威胁?


3、你们公司邮箱是自建还是采用商业邮箱?
自建

4、对于企业邮箱安全你们都采取了哪些措施?
必须定期改密码,密码有强度等要求

5、对于网易此次事件你有什么看法?
应该是被拖库了,很可能是内部人士所为,不好防。既然“密码密保均为MD5存储”,那只能暴力破解,弱密码容易被破。如果当时MD5计算出结果之后再处理变换下,算法保密,应该安全多了。

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2015-10-20 14:56 |显示全部楼层
讨论话题:
1、对于邮箱是否会定期修改密码的习惯?
很少有人会定期修改密码吧,反正我是不修改的,关键是密码太多记不住啊。

2、你是否会对每一个账户拥有一组密码,避免撞库威胁?
这个会,一般不同的应用密码是不一样的。

3、你们公司邮箱是自建还是采用商业邮箱?
自己建设的

4、对于企业邮箱安全你们都采取了哪些措施?
密码强度有要求,比如必须多少位。

5、对于网易此次事件你有什么看法?
这个不太好说,按理说,密码加密都会加salt的,不应该只是简单的md5吧。
所以严重怀疑事件的真实性,也可能是撞库的结果吧。

论坛徽章:
140
2022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:5719周年集字徽章-庆
日期:2019-08-27 13:28:5615-16赛季CBA联赛之福建
日期:2019-09-10 11:43:2519周年集字徽章-周
日期:2019-12-12 10:54:0715-16赛季CBA联赛之福建
日期:2020-10-13 10:45:3220周年集字徽章-20	
日期:2020-10-28 13:53:0220周年集字徽章-庆
日期:2020-10-28 14:07:10
发表于 2015-10-20 15:52 来自手机 |显示全部楼层
这个目前md5到底有何不安全的,前几天cu也因为md5被说弱爆了

论坛徽章:
4
IT运维版块每日发帖之星
日期:2015-08-04 06:20:00IT运维版块每日发帖之星
日期:2015-10-10 06:20:002015亚冠之阿尔艾因
日期:2015-11-08 10:27:01CU十四周年纪念徽章
日期:2020-11-05 14:10:23
发表于 2015-10-20 15:53 |显示全部楼层
1、对于邮箱是否会定期修改密码的习惯?
    没有定期修改,是不定期修改

2、你是否会对每一个账户拥有一组密码,避免撞库威胁?
     还没有做到,密码太多也不好记

3、你们公司邮箱是自建还是采用商业邮箱?
     商业邮箱,就是163的,不知这次中招了没有

4、对于企业邮箱安全你们都采取了哪些措施?
    没有了解

5、对于网易此次事件你有什么看法?
    这次事件公关非常失败,打脸打得啪啪的。

论坛徽章:
204
15-16赛季CBA联赛之山西
日期:2017-01-11 15:00:1215-16赛季CBA联赛之浙江
日期:2017-12-28 14:13:3815-16赛季CBA联赛之广夏
日期:2018-03-01 16:41:0915-16赛季CBA联赛之青岛
日期:2018-08-08 11:17:1915-16赛季CBA联赛之江苏
日期:2018-08-08 14:12:3815-16赛季CBA联赛之江苏
日期:2018-09-17 13:50:1315-16赛季CBA联赛之天津
日期:2018-12-27 08:57:2015-16赛季CBA联赛之广夏
日期:2019-01-03 14:18:1715-16赛季CBA联赛之广东
日期:2019-02-14 09:45:28黑曼巴
日期:2017-12-11 12:52:0315-16赛季CBA联赛之吉林
日期:2017-12-11 12:51:5915-16赛季CBA联赛之天津
日期:2017-02-10 15:34:53
发表于 2015-10-20 20:02 |显示全部楼层
1、对于邮箱是否会定期修改密码的习惯?
没有,邮箱没有什么重要的东西,随便拿去
2、你是否会对每一个账户拥有一组密码,避免撞库威胁?
会,密码每个都不一样
3、你们公司邮箱是自建还是采用商业邮箱?
商业邮箱
4、对于企业邮箱安全你们都采取了哪些措施?
定期修改密码,密码复杂度
5、对于网易此次事件你有什么看法?
MD5加密网上已有破解工具,只需要内部人氏从后台库当中把密码字段及用户名导出就可以暴力破解,一般发生这种事情都是内部人泄密,加强内部管理才是关键

论坛徽章:
20
CU大牛徽章
日期:2013-04-17 11:48:26羊年新春福章
日期:2015-03-10 22:39:202015年中国系统架构师大会
日期:2015-06-29 16:11:282015亚冠之平阳省
日期:2015-07-31 09:19:042015七夕节徽章
日期:2015-08-21 11:06:17IT运维版块每日发帖之星
日期:2015-09-30 06:20:002015亚冠之柏太阳神
日期:2015-10-19 20:29:5915-16赛季CBA联赛之天津
日期:2016-11-29 14:03:4315-16赛季CBA联赛之北控
日期:2016-12-24 20:51:492015年辞旧岁徽章
日期:2015-03-03 16:54:15双鱼座
日期:2015-01-12 20:58:532014年中国系统架构师大会
日期:2014-10-14 15:59:00
发表于 2015-10-20 23:49 |显示全部楼层
1、对于邮箱是否会定期修改密码的习惯?
    不定期修改密码。
2、你是否会对每一个账户拥有一组密码,避免撞库威胁?
     对于小论坛、小网站使用相同的密码,对于关键账号,一个账号一个密码。
3、你们公司邮箱是自建还是采用商业邮箱?
     自建的邮箱
4、对于企业邮箱安全你们都采取了哪些措施?
     对于企业邮箱,首先是邮箱服务器上只安装邮件服务,开启防火墙,只开需要对外提供服务的端口,比如,SMTP, POP3,IMAP等端口。其次,开启邮件的反病毒功能,对所有来往的附件进行扫描,所有管理员设置高强度的复杂密码等。
5、对于网易此次事件你有什么看法?
     这几年,很多网站都出现过被拖库的情况,这些数据库成了一个巨大的宝藏,从这里面取出来的很多用户名和密码都可以在其它的网站登录,造成巨大的隐患。通过网上各种分析文章,现在可以得出一个基本的结论,网易的这次用户名与密码泄露事件应该不是通过撞库得到的,那还有可能就是被拖库了。安全是一个整体,很多时候往往是小问题造成的。比如,此次网易的数据泄露,可能它的邮箱主服务器安全工作做得很到位,但可能某一个小站的安全工作没有做好,这个小站被攻陷,黑客通过这个小站拿下了网易邮箱。或是网易邮箱的运维人员的不小心,收到了黑客发的钓鱼链接而被钓鱼了。

论坛徽章:
36
CU大牛徽章
日期:2013-09-18 15:24:20NBA常规赛纪念章
日期:2015-05-04 22:32:03牛市纪念徽章
日期:2015-07-24 12:48:5515-16赛季CBA联赛之辽宁
日期:2016-03-30 09:26:4715-16赛季CBA联赛之北控
日期:2016-03-30 11:26:2315-16赛季CBA联赛之广夏
日期:2016-05-20 15:46:5715-16赛季CBA联赛之吉林
日期:2016-05-24 11:38:0615-16赛季CBA联赛之青岛
日期:2016-05-30 13:41:3215-16赛季CBA联赛之同曦
日期:2016-06-23 16:41:052015年亚洲杯之巴林
日期:2015-02-03 15:05:04CU大牛徽章
日期:2013-09-18 15:24:52CU十二周年纪念徽章
日期:2013-10-24 15:46:53
发表于 2015-10-21 08:46 |显示全部楼层
1、对于邮箱是否会定期修改密码的习惯?
有,因为现在的网络实现太不安全了,从客户端到服务器,传输过程都太不安全了。
2、你是否会对每一个账户拥有一组密码,避免撞库威胁?
是的,但这样造成密码过多容易忘记,避免撞库觉得最好还是服务端使用动态验证之类的,像google的身份验证器Authernticator(大微软也在使用)。
3、你们公司邮箱是自建还是采用商业邮箱?
商业邮箱。
4、对于企业邮箱安全你们都采取了哪些措施?
好像没有,基本依靠商业邮箱的安全。
5、对于网易此次事件你有什么看法?
水太深...

论坛徽章:
11
CU大牛徽章
日期:2013-03-13 15:32:35IT运维版块每周发帖之星
日期:2015-11-06 19:28:13IT运维版块每日发帖之星
日期:2015-10-13 06:20:00IT运维版块每日发帖之星
日期:2015-09-27 06:20:00IT运维版块每日发帖之星
日期:2015-09-19 06:20:00CU大牛徽章
日期:2013-03-14 14:14:29CU大牛徽章
日期:2013-03-14 14:14:26CU大牛徽章
日期:2013-03-14 14:14:08CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-13 15:38:15IT运维版块每日发帖之星
日期:2016-01-01 06:20:00
发表于 2015-10-21 08:54 |显示全部楼层
知名安全专家李铁军对记者表示,对于此次事件,暂时还未能定位到具体来源,不能武断下结论网易存在数据泄露。在没有得到所谓的过亿泄露数据进行调查之前,各种可能性都需要证实,“撞库”也是原因之一,“值得忧虑的是,现在泄露的数据库越来越大,撞成功的概率也越来越大,每个人都是潜在的受害者”。他还坦言,安全业界暂时对此也是无能为力的,只能让用户勤换密码。

论坛徽章:
80
20周年集字徽章-庆
日期:2020-10-28 14:09:1215-16赛季CBA联赛之北京
日期:2020-10-28 13:32:5315-16赛季CBA联赛之北控
日期:2020-10-28 13:32:4815-16赛季CBA联赛之天津
日期:2020-10-28 13:13:35黑曼巴
日期:2020-10-28 12:29:1520周年集字徽章-周	
日期:2020-10-31 15:10:0720周年集字徽章-20	
日期:2020-10-31 15:10:07ChinaUnix元老
日期:2015-09-29 11:56:3020周年集字徽章-年
日期:2020-10-28 14:14:56
发表于 2015-10-21 09:27 |显示全部楼层
本帖最后由 baopbird2005 于 2015-10-21 09:29 编辑

1、对于邮箱是否会定期修改密码的习惯?
这个习惯倒是没有,有了这个习惯很可能自己都不知道要密码啦。呵呵

2、你是否会对每一个账户拥有一组密码,避免撞库威胁?
个人认为没有什么特别重要的信息的网站基本上是账号和密码通用,只要是方便啊。我有密码健忘症。

3、你们公司邮箱是自建还是采用商业邮箱?
  我们是小公司,使用的是腾讯的企业邮箱,对于信息安全要求不是太高。

4、对于企业邮箱安全你们都采取了哪些措施?
  小公司最次没有兴趣,基本上通用的安全措施。

5、对于网易此次事件你有什么看法?
拖库很严重,再加上网上的各种能人都有,各种破解。 就是一般的用户只要想破解东西也是很容易的,更别说专业的黑客人士了。网站加强安全保障,用户呢最好能够一个账号一个密码。使得黑客攻破了一个,不至于零代价的攻破别的网站。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2021中国系统架构师大会

【数字转型 架构重塑】2021年5月20日-22日第十三届中国系统架构师大会将在云端进行网络直播。

大会为期3天的议程,涉及20+专场,近120个主题,完整迁移到线上进行网络直播对会议组织来说绝非易事;但考虑到云端会议的直播形式可以实现全国各地技术爱好者的参与,也使ITPUB作为技术共享交流平台得到更好的普及,我们决定迎难而上。
http://sacc.it168.com/


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP