网易邮箱惨被打脸，安全问题其实由来已久

　　今天乌云漏洞报告平台宣布发现新漏洞，此漏洞将导致网易163/126邮箱近5亿条数据泄漏，而昨天刚刚辟谣的网易邮箱残被打脸，但其实，网易的问题由来已早。

　　文|hana

　　从10月17日开始，很多网友开始在微博上反映称自己的网易邮箱内容遭到泄露。截止到今天，在微博上搜索“网易邮箱”，网友们的吐槽简直多如牛毛。

　　网易邮箱官方微博在昨天下午发微博辟谣：“经网易邮箱团队排查，网络谣传并不属实。网易邮箱数据库不存在被攻击和泄露情况，同名账户被攻击和网易邮箱数据库无关。至于部分网站发给用户的密码重置邮件，网易已经采取了各种安全保障措施，升级了风控策略。”

　　

　　但颇为打脸的是今天下午乌云漏洞报告平台宣布发现新漏洞，此漏洞将导致网易163/126邮箱近5亿条数据泄漏，涉及邮箱账号/密码/用户密保等。而因为找回密码的问题及答案的MD5值也已经泄露，攻击者将可以修改这些信息，那些邮箱的主人将几乎丧失控制权。由此也将导致邮箱关联的其他服务可能被盗。

　　

　　邮箱国内用户量最大、标榜安全，如今波及甚广

　　根据百度百科的信息显示：网易旗下共有8个邮箱子品牌，包括163免费邮、126免费邮、yeah免费邮、163VIP、126VIP、188财富邮、专业企业邮以及免费企业邮，截至2014年12月网易邮箱的用户数已突破7.4亿，在中国邮箱行业领跑市场。据第三方公司最新报告显示，网易邮箱用户活跃度最高，人均月度访问次数第一;在“最常使用邮箱品牌”这个指标上也连续10年领跑中国市场。

　　此外，安全也是网易邮箱一直标榜自己的优势之一。

　　2012年7月，网易正式成为打击伪造邮件利器的DMARC官方成员，同时也是中国国内第一家加入DMARC的邮件运营商。仅在2014年一年，网易邮箱靠DMARC拦截到的非法邮件数量就达到2.9亿封，比2013年的8.9千封增长了69%。与此同时，网易邮箱还为国内顶级的电商企业和在线支付企业提供技术支持，打击反钓鱼邮件。

　　今年的8月份，中国信息安全测评中心依据国标最高标准，在对网易邮箱进行了持续两年严格的信息安全评估后，正式授予网易邮箱邮件系统“EAL3+级信息安全等级认证”。这是目前国内最高级别的邮件系统安全认证，网易也成为国内唯一一个唯一获此认证的邮件服务商。

　　企业邮箱获得中国信息安全测评中心授予的EAL2级信息安全等级认证，这是国内最高级别的邮件系统安全认证，网易成为互联网业界唯一获此认证的公司。

　　也正是基于以上两点，网易邮箱被广大用户深深信赖，使用网易邮箱绑定淘宝、支付宝、苹果iCloud和QQ等帐号，而如今面临巨大的风险。

　　苹果用户和百度网盘用户成为主要波及对象

　　这次的网易邮箱被暴力破解事件最早从10月13日开始，知乎网友“于公子”在网上爆料在13日6点自己的百度帐号与暴雪战网密码一起被修改，时间相同。他还认为：“按以前的路数应该是有组织的批量修改，然后会向下游产业链出售，买家接手后逐个撞库，搜刮价值后再转手卖给需要个人信息的买家，还有91，1024什么的应该会有个井喷吧，愿度盘用户安好……”

　　

　　微博上实名认证为“互动百科移动产品经理”的网友“蓝翔精英李大栓”总结了破解过程：先破解网易邮箱，得到百度账户用户名，修改绑定邮箱，得到百度网盘权限。

　　由于百度网盘上有用户的通话记录、所有手机的截图、私密照片，加之账户一旦丢失，无法向管理员申诉，所以大批用户大呼：“别拦我!我要红!”

　　

　　另一受伤的群体则是苹果用户，许多用户发现自己的iPhone突然变“砖”，并受到疑似敲诈者的留言，让用户联系其QQ号。

　　

　　

　　而联系苹果客服，也是转接缓慢，有用户爆料自己登陆了将近四个小时才转接到苹果的ID管理部门，客服说自己这两天忙炸了，被盗的全是网易邮箱，该用户身后还有七百多通电话在等候。

　　

　　风波不停，多起问题引争议

　　2013年的央视315晚会曾曝光网易邮箱存在偷窥用户邮件内容，默认第三方公司在其网站挂代码，从而获得用户所有浏览记录。虽然当时网易也是第一时间就出来否认，不过，其股价次日开盘后即大跌，跌幅一度超5%。

　　

　　其实之前就曾有部分邮箱用户投诉网易公司存在通过发送垃圾邮件盈利的嫌疑，但当时网易方面表示，“活动通知邮件”是网易为用户提供的一种系统告知服务，并且是经过用户主动订阅的，这不属于垃圾邮件，也不是商业EDM邮件。有业内人士认为这是网易故意混淆垃圾邮件和商业EDM邮件的概念，掩人耳目。

　　今年的5月和7月，在短短两个月内网易又分别发生了一次“事故”。

　　今年5月11日，网易服务器出现大面积瘫痪，致多数网易产品和客户端无法连接和刷新。后来网易回应称因骨干网络遭受攻击，导致网易旗下部分服务暂时无法正常使用。

　　没过多久，网易邮箱又出了问题。7月16日晚上，陆续有网友在微博上反映网易邮箱出现登陆故障，网页端显示“繁忙的系统暂时需要停下歇歇，请您稍后再试。”，也有网友反馈“126邮箱突然提示服务器密码更改”，通过重密码、修改密码等方式也无法正常登陆。

　　

　　对于此次大规模宕机事件，网易官方回应称是由于系统升级造成的，网易技术人员已于17日凌晨成功修复，邮件信息存储和邮箱账号安全未受任何影响。

　　但有网友却认为这是网易强推邮箱APP造成的，“今天，网易强推邮箱客户端APP，强行修改所有通行证登陆入口，导致验证错误，涉及游戏、网易论坛、游戏等多款产品。如果你浏览器Cookie未改变，未退出登录，则可保留原来身份正常访问网易邮箱及其他服务，一旦注销登陆，悲剧在等着你!”

　　

　　其实在前不久引起轩然大波的苹果Xcode事件中，网易旗下的网易云音乐、网易公开课就曾榜上有名，而这次的事件也有某互联网公司安全部的内部邮件称是恶意Xcode所引发，由此看来，隐患已经潜伏一段时间。

　　

　　结语：

　　即使证据多多 、网友吐槽遍地，网易邮箱也大言不惭出来“辟谣”：我们没事，不是我们的问题。而且看起来已经是习以为常了。在这个危险的互联网世界，如果不能提供安全，只会促使人们离开你，而不能提供安全还试图隐藏危险，就只能让人们送上白眼再离开你了。