网易说他数据没泄露，安全专家急哭了

创见网 • 8年前扫码分享

我是创始人李岩：很抱歉！给自己产品做个广告，点击进来看看。

2015年10月19日，网易邮箱团队在微博等平台发布声明称其数据并未泄漏，但这仍不影响众多媒体对外宣称网易邮箱过亿数据泄露是确定事实。作为你国市场占有率排名第一的邮箱，它的海量数据是是否真的泄露？作为一名普通用户，我们又将受到什么影响？

就此事我们采访了信息安全服务公司长亭科技的安全研究员，研究员表示从他们的跟进调查来看，这些数据可能在半年前就已泄露。虽然泄露途径暂不确定，但互联网流已泄露的数十亿数据对已泄露的网易邮箱数据样本的覆盖率非常低，这意味着这次泄露的海量数据几乎不可能是通过撞库得到的（撞库：黑客通过收集互联网已泄露的用户和密码信息，尝试批量登陆其他网站，而得到一系列可以登录的用户）。

［插播一段画外音］网易：“你说我被拖库了，你把证据拿出来啊。”黑客：“喏，库在这。”网易：“警察叔叔，就是他！”（拖库：网站遭到入侵后，黑客窃取其数据库）

通过某匿名粘贴板网站，可找到一部分可能在黑产交易中作为验证数据的流出数据。

目前已有大量使用网易邮箱作为iCloud账号的iPhone用户被敲诈。敲诈过程应是先利用网易邮箱登陆并锁定账户，再利用iCloud的功能推送如下信息：

按照对方的要求进行付费后会给出新的iCloud账号信息，如下图所示：

这样的诈骗手法在黑色产业链中算是比较麻烦的，为什么如此重要的数据被如此滥用？

假设这些数据泄露的时间点是在半年前左右，推测本次的数据泄露以及黑色产业利用过程为：

长亭科技的安全研究员表示当这种过亿级别的数据泄露出现在大众视野时，可用价值基本都被洗得差不多了（洗库：黑客通过一系列的技术手段和黑色产业链将有价值的用户数据变现）。黑客在地下进行第一次数据买卖时，数据的利用价值相对较高，通过游戏洗号（将游戏账号中价值不菲的装备等洗劫一空）、碰撞第三方支付平台密码（如支付宝）、碰撞其他账号（现金业务相关的优先级最高）可不费吹灰之力截获常人难以想象的巨额黑色财富。当这层丰厚的油水被榨干，数据就会以较低的价格被第二次转手，让下游的犯罪分子继续用以牟利。像这次的iCloud被盗事件，显然就属于黑色产业链的较底层了。骗子们冒着极易被发现的风险，花费大量人力与被盗号的受害者周旋，只为从每个账户那骗几百块，这些小钱对于黑色产业链上游的那些人来说连零头都不算。

针对此次数据泄露事件，长亭科技的安全研究员建议我们采取以下安全措施：

立即修改网易邮箱密码，将邮箱与网盘中的敏感数据进行本地备份后删除。
使用网易邮箱作为iCloud登陆账号的用户立即修改 AppleID密码并开启两步验证。
清查所有使用网易邮箱为登陆名的账号，将账号涉及到的敏感信息进行合理处理，并修改账号的密码。

苹果开启两步验证步骤为：

点击 https://appleid.apple.com/cn进入苹果官网

点击“管理您的Apple ID”使用iCloud账号进行登陆后找到密码与账户安全选项

填写答案后进入设置页面

之后按照官方信息提示完成设置即可。

连网易这样的大厂都被捅了大门，作为普通用户，我们又能怎样保住自己在信息时代里的安全？

普通用户能做的只有在每一个重要的网站或APP中，都不重叠使用简单密码，尽量把自己某个密码泄露的危害程度降低。

不要重叠是为了避免这个密码被恶意攻击者用来进行撞库攻击；

不要用简单密码是因为在用户隐私被泄露时，假如那个公司稍稍有点良心，你的密码应该是被某种hash算法加密保存的，那么密码被反解出来的概率会低很多。

除此之外，似乎只能自求多福了。

危机公关做得再好，也不如平时安全多点投入，更何况有的公司危机公关做的大概是上个世纪的水平。

业内人士常常调侃说拖库这个问题一共只有三种情况：

一是已经被拖了且大家都知道了。

二是已经被拖了但大家还不知道。

三是正走在被拖的路上。

最近那起知名事件只是从第二种情况变成了第一种情况，而大部分系统都处于第二或者第三种情况。

不久前全球最大婚外情网站Ashley Madison被一群黑客入侵，3700万名用户的信息被公布了在了互联网上，有心人可随意查询，瞬间掀起腥风血雨。再往前数，全美第二大零售连锁店 Target 系统遭入侵，4千万信用卡信息遭窃；Apple ID被暴力破解，明星自拍泄露……最近几年企业因疏忽了信息安全而造成巨大损失的案例不胜枚举，大量的恶意攻击带来了诸如用户隐私与企业核心数据泄露、交易订单丢失、金融平台款项被盗取等严重后果。在现今这个数位时代，企业若想要稳稳立足，就必须做好信息安全。

目前整个世界的网络安全防护水平与真正的黑客攻击技术间还有很大的差距，而国内的网络安全防护水平与美国、韩国等国家又有着较大差距。显而易见，国内企业网络安全环境十分严峻。

我们问长亭的安全研究员对中国企业的互联网安全怎么看，他们打出了“不及格”的分数，主要原因是中国企业对于网络安全不重视。“我们常开玩笑说，世界上只有两种人，一种是知道自己被黑了的，另外一种是被黑了还不知道的。中国的中小企业大部分属于后者，还不知道网络安全的意义。”

微博上还流传着一个著名的 养安全人员的悖论：「不出事->养你们不如养猪->咔嚓。出事儿->养你们不如养猪->咔嚓。 」

在这种恶劣的行业条件下，长亭科技等互联网安全企业把目光投向“被黑了还不知道”的中小企业，推出免费检测的服务。企业只需提交申请、签订测试授权协议，即可获得对企业线上系统进行的免费安全测试。如果发现安全隐患，他们会评估风险，提供反馈，并根据企业意愿进一步提供深度解决方案。“我们测试的国内网站，基本都能发现一大批安全隐患，所幸大部分客户愿意通过深度合作，让我们继续为之提供安全解决方案。”他们的技术人员这么对我说道，表情中却带有一丝失落，“对于我们团队来说，去发现企业漏洞其实并没有多少难度，但看到国内企业网络安全环境这么差反而挺让我们沮丧的。”不难想象，这些登上过BlackHat兵工厂舞台的顶尖白帽子黑客们每天赤裸裸地直面各企业五花八门的漏洞是何等的无奈。

我一直都假定自己的所有设备都会被黑，所有的账号密码都会泄漏，所有的安全措施都会失效，以此来制定自己的信息安全策略。这样做或许有些极端，但至少能保证我不会时不时受个惊。

*本文作者 TECH2IPO/创见 @ radiodog ，首发于TECH2IPO/创见（http://tech2ipo.com/），转载请保留此信息