澳门新银河国际网站-www.2G.com【注册登录】
做最好的网站

管理好你的密码——网易邮箱泄漏事件解析(附

前天下午网易被曝邮箱信息泄露,当时有同事吼了一声”网易被拖库“,整个办公室都炸了。以下是乌云报漏洞的截图:

图片 1

网易作为老牌邮件服务提供商,根据百度百科的信息显示:网易旗下共有8个邮箱子品牌,包括163免费邮、126免费邮、yeah免费邮、163VIP、126VIP、188财富邮、专业企业邮以及免费企业邮,截至2014年12月网易邮箱的用户数已突破7.4亿,在中国邮箱行业领跑市场。据第三方公司最新报告显示,网易邮箱用户活跃度最高,人均月度访问次数第一;在“最常使用邮箱品牌”这个指标上也连续10年领跑中国市场。据不可靠数据,市场占有率高达60%,至少有一半以上的网民拥有网易邮箱账号。如果这次泄露属实,并且是拖库的话,那么影响范围巨大。

乌云漏洞的描述是这样的:数据过亿交易证明数据/包含邮箱密码密保信息/登陆ip以及用户生日等,其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。

很快,网易官方也发表了声明,大意就是我们很安全,这次泄露的账号是黑客撞库所得,和我这边没关系。

图片 2

鉴于朋友们大部分不是从事互联网相关的工作,所以先来解释几个名词:

拖库:管理好你的密码——网易邮箱泄漏事件解析(附密码设置规则)。本来是数据库领域的术语,指从数据库中导出数据。在黑客领域的意思是某黑客利用网站的漏洞,将网站的所有用户数据完整的盗取出来。这种是非常可怕的手段,相当于你在该网站留下的所有信息都有可能被泄露,不要说你的密码了,你的年龄、身份证、爱好或者羞羞的照片都可能被偷走并贩卖。拖库又作谐音"脱裤"。

撞库:黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户,这样一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息。比如我目前掌握了一个用户名是zhangsan123@hotmail.com,密码是123456的信息,那么我用它来尝试登录支付宝,假如用户图方便支付宝也是用这样的密码,那么我就得到了该用户的支付宝使用权。

洗库:黑客拿到用户的数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。例如倒卖QQ号,提取个人信息出售,以及提取手机号码卖给发送垃圾信息的人。下面一幅图大体描述了处理用户数据的流程:

图片 3

MD5管理好你的密码——网易邮箱泄漏事件解析(附密码设置规则)。:第五代信息摘要算法,很多人认为其是一种加密算法,其实并不是,因为它无法解密。也就是说拿到了一串MD5的字符之后,通过一般的方式无法得到处理前的字符。这次黑客拿到的是密码和密保都是MD5存储的,无法解密似乎很安全。但是弱密码的MD5值是很容易得到的,因为已经有明文和其MD5值的数据库。比如123456的MD5值是49ba59abbe56e057,那黑客拿到了49ba59abbe56e057后,就可以根据原有的数据库做比对,很容易就能找到原始密码是123456。这也就是为什么网站一直建议我们设置复杂密码的原因,纯数字的密码几乎没有秘密可言,重要网站密码一定要包含字符、数字和特殊字符。下图表示黑客如何处理得到的数据以及加密数据的破解。

图片 4

再次回到事件本身,从乌云的表述来看,这次泄密的内容包括密保和登录ip等信息,撞库是无法获得的,如果信息属实,那么此次网易是被拖库无疑。

从一些其他的报道,将此次泄露的数据和之前互联网上公开的12亿条数据做关联性匹配测试,发现两批数据的交叉耦合度很低,说明此次数据并非简单的撞库所得。

另外还有一些爆料,某公司的安全工程师说"圈内有一则传言:网易有个API接口没有任何限制,被黑客爆破已经4年多了。"

图片 5

图片 6

黑客在拿到用户数据后不会立马公开,会将其洗到没有价值了之后才会公开,一般来说,用户数据在地下黑产会经历以下五步:

  1. 管理好你的密码——网易邮箱泄漏事件解析(附密码设置规则)。数据泄露

  2. 高端黑客间高质量数据的交换买卖

  3. 撞第三方支付平台密码,游戏洗号,撞其他交易相关类网站

  4. 第二次数据买卖,诈骗,iCloud敲诈

  5. 管理好你的密码——网易邮箱泄漏事件解析(附密码设置规则)。数据流出

现在基本上已经走到了,第四步和第五步,说明已经泄漏了一段时间了。

就目前能获得到的资料来看,网易被拖库的可能性比较大,对我们每个人的信息安全都是非常大的影响,为了让影响降到最低,建议广大值友们全面修改网易邮箱的密码和密保问题,以及和网易邮箱密码相同的其他网站密码。

网络安全和密码安全

网络世界,几乎没有一家互联网公司可以说自己的信息100%不会泄漏,所以在平时需要养成良好的隐私保护习惯,争取在泄漏时将危害降至最小。

1. 不同网站设置不同的密码。这个措施是为了方式撞库造成信息泄漏的风险。这句话说起来简单,但是做起来挺难的,因为现在网站众多,那么多密码不一定能记住。所以现在教大家一种方法来根据不同的网站设置不同的密码。假如你叫张三,那么设置密码的规则可以设置为"Zhang1San@+网站域名的前两个字母",这种规则下,淘宝的密码是"Zhang1San@ta",京东的密码是"Zhang1San@jd",网易的密码是"Zhang1San@16"。当然你也可以在这个规则下弄一些更没有规律的组合,比如我们公司安全部门推荐的密码设置规则:

图片 7

2. 网站分等级设置密码。可以将网站分为几类,级别较低的一种密码模式,涉及电商的一种模式,涉及到支付的又是一种模式,还要注意登录密码和支付密码要设置为不同的。其实我现在最担心的倒不是网站的密码,而是银行卡密码,所幸里面没啥钱。

3. 不要将密码保存在除你的头脑之外的一切地方。公司很多同事,也别是业务人员,喜欢将电脑登录密码用便签纸写下贴在显示器上,这和没有密码有毛区别。还有人喜欢用个小本子将密码记下来,而且写得很详细,比如淘宝:帐号zhangsanissb,密码abc123。这样小本子丢了你的密码也忘了,更别说刚好被人捡去干坏事儿。另外有人将密码写在word或txt,保存在电脑或者网盘中,还贴心的取名"password",你们知道黑客侵入电脑,首先就会扫描"password.txt"么。所以最好将密码保存在你的头脑中,别人偷不走(排除以后的脑电波方式),如果实在记不住可以借助第三方密码管理工具,张大妈也推荐过1Password。

4. 不要轻易使用非信用的公共Wifi,特别是android系统。之前用的WinPhone系统,各种公共Wifi无限制不担心,当然也没银行相关的应用。但是andriod由于系统的特殊性,如果连接上了恶意的Wifi,很容易就能拿到你的个人信息。

5. 定期修改密码。这点列这么后面是因为我自己做不到,但是还是请各位将重要账号的密码定期修改,三个月一次是要的。何为重要账号,就是里面关联了五位以上金额的账号。

好了,其他的也没什么要说的了,如果有好的建议希望可以在评论中补充,希望各位关注自己的隐私,永远接不到诈骗电话。

ps:我非专业黑客,如描述的有问题请见谅。

ps2:下面简单列举已经公开的泄漏数据,有些是撞库所得(不完全,只是挑了几个网站):

14.1亿企鹅群关系:1,410,000,000

天涯社区:29,233,001

机锋Android手机交流网:21,258,536

开房记录:传说中的2000W19,238,496

hiapk安卓网17,130,246

52pk游戏网14,001,237

1717游戏9,104,228

小米8,063,673

yy.com YY直播7,689,777

珍爱网6,634,117

csdn:6,183,783

7k7k网页游戏:6,173,649

多玩游戏网:5,431,095

太平洋电脑:5,135,650

开心网:4,293,507

齐家装修网:3,752,933

51cto:3,200,627

人人网:3,138,386

新浪微博:3,127,155

Gmail:2,308,840

完美世界游戏:1,987,815

拉手团购网:1,815,656

射手字幕网:1,080,479

51job:1,068,625

hotmail:986,527

当当:894,244

暴风影音:560,528

jd京东:471,552

百合网:353,771

墨迹天气:151,138

快钱:105,244

126网盘:46,216

李毅吧:41,782

百度网盘:4,292

吾爱破解:598

申明:数据来自第三方,不保证正确,不承担责任。。

本文由澳门新银河国际网站发布于第一游戏网,转载请注明出处:管理好你的密码——网易邮箱泄漏事件解析(附

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。