中国邮箱网讯 10月23日消息,本月18日,有不少网友在微博上反映称网易邮箱内容遭到泄露,除了邮箱之外,用网易邮箱绑定的包括苹果Apple ID、微博、支付宝、百度云盘、游戏等均遭到泄露。
19日下午,国内知名漏洞发布平台(乌云)上出现了一个数据泄露报告,据该报告显示,网易126/163邮箱的数据库疑似泄露,影响数量总共数亿条,涉及了邮箱账号、密码(MD5)、密保信息、注册IP以及用户生日等信息
邮箱是否真的存在致命漏洞?
乌云言之凿凿,用户控诉如潮。微博里网易邮箱用户晒出的登录异常和账号丢失的截图满天飞,虽然网易对本次事件两个节点都以“谣传”作掷地有声的回应,并搬出了国家互联网应急中心力证泄露不属实,却又在邮箱户登录界面向用户发出密码修改提醒。
这一信号表明此事并非空穴来风,亿万网民用户开始恐慌:密码和保护邮箱已经没办法保护安全,纷纷修改密码解除绑定。
这两天,网易一再不忘自我贴金地发布声明:网易邮箱拥有国内最高等级,同时也是邮件系统领域最高级别的安全证书EAL3+,是最值得信赖的账号系统之一。过亿数据泄露这件事情本身的真实性以及各种社会舆论在这里我们不讨论,笔者关心的是,作为互联网通行入口的电子邮箱在哪些方面存在致命风险?
笔者通过在国内某主流邮箱担任高级安全专家的卢总监了解到,邮箱常见的安全隐患存在于两种可能:撞库和拖库。何为撞库?黑客手头掌握社工库,用其中包含的信息去测试目标网站。比如在网站A盗了a用户,在网站B盗了b用户,黑客就会相互共享,一起用两个账号密码来试CDEF……对于用户来说,预防黑客撞库的有效方法就是各个账号体系间的密码不要通用。对于撞库的预防,更多的是用户从自身安全意识方面来加强防御。
相比撞库,拖库的危害和预防难度要大得多:黑客掌握某网站的高危漏洞,并且利用漏洞将用户信息尤其是密码完整盗取出来。至于盗取出来以后,黑客想干嘛就干嘛,完全由不得你了。就电子邮箱产品来说,基于md5算法的带salt双重hash算法的密码存储,才能极大限度增加黑客拖库后破解邮箱密码的难度,即便不幸被拖库,邮箱密码被反解泄露也几无可能。据业界人士透露,目前国内几大主流邮箱,仅仅只有中移动139邮箱采取带salt双重hash算法的密码存储机制。
是什么让安全成为行业难题?
作为互联网最基础最老牌的工具之一,电子邮箱已历经过几十年发展,产品成熟度和安全机制健全度相对其他互联网产品要好得多,纵观国内各家主流电邮厂商,不仅都具备一套完整的防御机制来确保信息安全,风控政策也一再升级。可惜泄露事件屡爆不鲜,是什么让安全成为行业难题?
其实,网络安全一直不被用户足够重视。在中国,网络安全与食品安全存在相似之处:那就是让人不放心。不同之处在于,后者举国上下共同关注并监管,而前者的重要性一直不能得到人们足够的重视。大部分人认为,既不是奥巴马也不是乔布斯,何德何能让黑客盯上我?不过此次网易泄露事件,倒是给忙不迭修改密码的大家狠狠上了一课。
安全并非只是技术和设备层面的事情,对安全的意识形态层面的重视和正确认识不到位,再强大的技术和设备所能起到的作用也是极其有限的。
笔者的观点是,不管是网络用户还是产品厂商,在网络安全保护方面都同样负有责任:一方面,产品厂商需要加强自身网络的稳定性和信息的安全性,而另一方面,网络用户也需要提升自身的信息安全意识:不使用相同秘密、不随意进行支付等等。只有当厂商的安全技术与用户的安全意识做到同步,我们的网络才会变得更放心。