当“乌云”飘过网易你的邮箱安全吗？网易邮箱被爆“漏洞”事件始末

2015-07-25武晓婷

信息安全与通信保密 2015年11期

■ 文 / 武晓婷

乌云发现的新漏洞将导致网易邮箱过亿数据泄漏，涉及邮箱账号、密码、用户密保等。牵连之广让众多iPhone用户也大呼惊恐，而事件的真相至今仍在云雾中。

2 015年10月19日这一天，对于在大洋彼岸硅谷创业的美籍华人LIN来说，是个重要的日子，因为这一天是美国1781年美国独立战争结束纪念日，甚至他还得到美国欢庆活动的祝福礼物。但是他作为一个一直使用网易邮箱的网易用户来说，他关心的是祖国互联网界发生的一条重磅新闻，于是，他同样用关注的心情反复的查询自己的邮箱密码与登入情况。

是的，网易“摊上事了”

这一天，一个名为乌云的信息安全领域网站，宣布发现新漏洞，此漏洞将导致网易163、126邮箱过亿数据泄漏，涉及邮箱账号、密码、用户密保等。

“乌云”飘来，对于网友来说，自己的iCloud帐号可能被黑，绑定的iPhone手机被勒索敲诈等。乌云表示，根源是，用户都采用了网易邮箱作为iCloud帐号。继而以致使用网易邮箱绑定淘宝、支付宝、苹果 iCloud和QQ等帐号用户出现异常，需要马上解除绑定关系。

这样的消息，对于远在美国的苹果公司也人心惶惶，因为其中受影响比较严重的是iPhone用户。绑定网易邮箱的Apple ID被锁成砖，这导致了用户手机直接不能使用。似乎不关苹果的事儿，但是可爱的、不知情的网民对于苹果也产生了抱怨。

位于广州的网易总部高管正在讨论如何解决危机方案的时候，驱不散的乌云连续出镜，他们认为这次漏洞涉及近亿条用户数据。乌云给焦急的网民提出的一个自检办法：登陆reg.163.com用户中心；在风险提示处查询近一个月的异常登录记录；查询异地登陆提醒邮件。当然，如有异常，需尽快修改密码。

风波一起，除了美国的苹果公司神经紧张，就在西子湖畔的支付宝公司也通过第三方渠道散播消息。即便事实如此，一位专家为支付宝站台：攻击者有可能通过网易邮箱盗窃支付宝帐号密码，但支付宝有自己的安全体系以及数字证书等验证方式，手机也在用户手里，因此支付宝资金的风险在可控范围内。

可见，“乌云”成团。一条公告，似乎把活跃在国内的几大知名IT公司都卷了进来。有业界人士调侃，看过电视剧《亮剑》的朋友，可能发现了相似的剧情，李云龙为救新婚妻子攻打平安县城的简单决定，却撬动了整个华北对日作战格局。

但是，作为浙商的优秀代表，丁磊创立的网易公司并没有开启强大公关攻势，这就是网易的强大之处，后厨再乱，出来的菜品照样有条不紊，他们的应对选择与丁磊的冷静而沉着性格一样。

48小时的网易危机

在乌云集结两天后，网易正式发文，顷刻间，看客与用户平复了恐慌的心情，开始恢复“该吃吃、该喝喝、该干啥干啥”的正常情绪。

作为传统四大门户之一的网易公司，其邮箱团队郑重声明，此消息不实。作为佐证，穿红马甲工服的网易技术专家连续进行技术排查，正式宣布，网易邮箱不存在自身数据泄露问题。

网易邮箱的用户遍布大江南北，网民习惯了网易邮箱ID作为其他平台的登陆账号，部分用户在其他网站使用了和网易邮箱相同的帐号密码，其他网站的帐号信息泄露，被不法分子利用。

随着网易正式声明的发布，邮箱在48小时之后，特别强调了自身各种强大优势，比如，他们拥有国内最高等级，同时也是邮件系统领域唯一的最高级别的安全证书EAL3+，是最值得信赖的账号系统之一。

又比如，网易邮箱在安全技术领域持续升级，保持在安全技术领域的领先地位，为广大用户邮件系统安全保驾护航。

甚至，网易邮箱团队还建议网民，不要在其他平台使用其账号作为登入方式。貌似，网易的“孩子”只有在网易才能健康而安全。反之，目前各类平台技术参差不齐，在安全级别较低的普通网站使用与网易邮箱账户，进行金融支付等高安全需求平台相同的账号密码体系极容易出现悲剧。

至此，一场比“非主流相声”演出还精彩的剧情完全反转，网易邮箱用户在松了一口气之后，网易继续“捧哏”包袱，他们回顾了自己18年邮箱运营之路，认为18年修炼的宝典，产品安全是其立足之本，还倾述了“只为追求最极致的安全服务”而努力的宗旨。而对于乌云网，网易严肃的表示：在成长的道路上，我们非常欢迎广大用户给予反馈和建议，网易邮箱团队将认真聆听采纳。但对任何恶意重伤的不实报道，网易公司将保留追究法律责任的权利。

至此，当忠实的网易邮箱用户回去睡个安稳觉时，而关注此事件的业界人士却再次开启了信息安全话题的讨论。