網易郵箱數據泄露，你得先搞清這3個問題

關于網易郵箱密碼泄露，別著急，咱們要先搞清楚三個問題。

這三個問題是：

1、拖庫還是撞庫？

2、責任在于誰？

3、我該怎么辦？

想搞清這三個問題，請繼續閱讀：

拖庫還是撞庫，烏云與網易各執一詞

1、烏云首發：網易郵箱疑遭“拖庫”

19日下午13:57，烏云漏洞平臺用戶“路人甲”發布信息，“網易163/126郵箱過億數據泄露（涉及郵箱賬號/密碼/用戶密保等）”，并且漏洞的危害等級為“高”，狀態為等廠商處理。

到了下午16:40，“路人甲”隱去了網易的名號，將漏洞名稱改為“某郵箱”，而且漏洞狀態改為，“已交由第三方合作機構(cncert國家互聯網應急中心)處理”。

按照網絡安全界的說法，這等于網易郵箱被“拖庫”，是指網站遭到入侵后，黑客竊取了數據庫。

2、網易回應：不是“拖庫”是“撞庫”

在18日下午和19日下午，網易郵箱官方兩次發布公告回應。在網易郵箱的回應中，否認了被拖庫，而認為是被撞庫而已，即其他網站的數據泄露導致用戶的網易郵箱信息間接泄露。

18日下午的公告表示“網易郵箱數據庫不存在被攻擊和泄露情況，黑客獲得部分用戶在其他網站與網易郵箱同名的賬號和密碼，并以此賬號和密碼來嘗試在其他網站的登陸，并非網易郵箱數據庫泄露。”

19日下午的公告再次表示，“此次事件，是由于部分用戶在其他網站使用了和網易郵箱相同的賬號密碼，其他網站的賬號信息泄露，被不法分子利用，僥幸嘗試登陸網易郵箱造成。”

同時，網易郵箱還表示，“不建議在安全級別較低的普通網站使用與個人郵箱、金融支付等高安全需求平臺相同的賬號密碼體系。避免在普通網站的賬號信息泄露后，影響到您在高安全需求平臺的賬號安全。

3、烏云質疑：并非“撞庫”

19日下午，烏云再次回應，“其中部分數據已經在互聯網流傳，同時這次密碼泄露似乎也沒有改密碼就能解決這么簡單。因為還泄露了用戶密碼提示問題&答案(hash處理)，而且這個數據應該是“撞庫”無法獲取的，建議大家改密碼的同時也將密碼提示答案進行更新修改！ ”

4、據安在了解

根據網上疑似泄露數據驗證，其中不少用戶信息是新鮮的，這意味著，有不少用戶信息是最新被泄露出來。而且，樣品中確實有不少是密碼保護問題，這不是撞庫能解釋的。至于信息泄露的原因，很可能在于網易郵箱的API接口。不過，真實原因仍有待驗證。

消息滿天飛 責任在于誰？

1、烏云首先報告漏洞，漏洞發布平臺扮演什么角色？

按照烏云的機制，通常漏洞發現后一定是先報給廠商的，有一定期限；如果廠商不回應，顯示在社區內小范圍內公開；再過一段時間不回應，就直接公布了，因為當一家廠商的漏洞牽涉到泄露廣大用戶的信息，這就是公眾利益，廠商不能藏著掖著，平臺有責任向用戶告知。

2、如果網易確實有漏洞，將會承擔什么責任？

目前看來，中國幾乎沒有企業由于信息泄露而承擔責任的。比如此前的小米、攜程等。

首先是責任認定難。企業是否真的存在漏洞，如果企業自己不承認，也缺少權威第三方來認定漏洞責任。所以，因為漏洞導致信息泄露在中國最多是道德問題，而不是經濟問題或法律問題。

其次是責任處罰難。在網易郵箱的隱私政策里，也明確表示“但請您諒解，由于技術的限制以及風險防范的局限，即便我們已經盡量加強安全措施，也無法始終保證信息百分之百的安全。您需要了解，您接入我們的服務所用的系統和通訊網絡，有可能因我們可控范圍外的情況而發生問題。”可以認為，這就等于自我免責。

郵箱信息泄露 用戶該怎么辦？

安在建議：

1.修改郵箱密碼保護問題和密碼；

2.不建議登陸所謂的驗證密碼是否泄漏的網站查詢，因為這種查詢網站本身動機也未必安全。

3.修改用該郵箱綁定的第三方服務，比如icloud，淘寶等，因為這個安全郵箱已經不再安全了。

安在評論：網絡安全永遠在路上

?安言咨詢總經理張耀疆認為：

拖庫這個問題一共三種情況，一是已經被拖了，二是已經被拖了可是大家還不知道，三是正走在被拖的路上。

當年從CSDN賬號泄漏開始，一系列“脫褲”事件就層出不窮了，網易是否也在其列，雖然還有待時間驗證，但這也應了那句老話：“很多時候，不是說你沒被黑，而是你被黑了還不知道。

網易雖然表示信息泄露是由于用戶信息在別處泄露所致，但是這并沒有回復漏洞是否存在。如果事情一旦坐實，這里面透出嚴重的理念和管理問題，一家堂堂的互聯網大公司，居然如此輕待安全，無論如何是說不過去的。這里想說的就是第二條：也許你被黑你還不知道，可還有多少時間，其實是你裝作不知道呢？

看似簡單而古老的賬戶及密碼問題，牽一發而動全身，以及互聯網世界里難于獨善的特點，會一個點帶動整個面。如果網易都可能存在漏洞，誰又能幸免？這就是我想說的第三句：“即便你真的還沒被黑，你也一定是走在將要被黑的路上，區別只在于路遠路近而已”。所以，對于網絡企業而言，業務做大之后，如何在安全這塊做強，是一個早晚都要面對的問題。

?啟明星辰副總裁歐陽梅雯表示：

目前大概有數億中國用戶的常用密碼流落在外，基本上三年沒改過的密碼可以認為已經暴露。

我一直都會假定自己的所有設備都會被黑，所有賬號密碼都泄漏了，所有的安全措施都可能失效，根據這個來確定自己的信息安全策略，至少不會經常受到“驚嚇”。

網絡安全是技術活

網易郵箱漏洞事件中，還出現了一個小插曲，某電視臺在報道中還出了一個烏龍事件，將上海的ucloud當做烏云漏洞平臺，實際上，ucloud是一家國內知名的云服務公司，這樣躺槍，也讓ucloud哭笑不得。歸根到底，網絡安全是個技術活。

【作者介紹】葉健。另外，如想了解更多網絡安全，可關注信息安全新媒體——安在

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。