當(dāng)“烏云”飄過(guò)網(wǎng)易 你的郵箱安全嗎？網(wǎng)易郵箱被爆“漏洞”事件始末

■ 文 / 武曉婷

烏云發(fā)現(xiàn)的新漏洞將導(dǎo)致網(wǎng)易郵箱過(guò)億數(shù)據(jù)泄漏，涉及郵箱賬號(hào)、密碼、用戶(hù)密保等。牽連之廣讓眾多iPhone用戶(hù)也大呼驚恐，而事件的真相至今仍在云霧中。

2 015年10月19日這一天，對(duì)于在大洋彼岸硅谷創(chuàng)業(yè)的美籍華人LIN來(lái)說(shuō)，是個(gè)重要的日子，因?yàn)檫@一天是美國(guó)1781年美國(guó)獨(dú)立戰(zhàn)爭(zhēng)結(jié)束紀(jì)念日，甚至他還得到美國(guó)歡慶活動(dòng)的祝福禮物。但是他作為一個(gè)一直使用網(wǎng)易郵箱的網(wǎng)易用戶(hù)來(lái)說(shuō)，他關(guān)心的是祖國(guó)互聯(lián)網(wǎng)界發(fā)生的一條重磅新聞，于是，他同樣用關(guān)注的心情反復(fù)的查詢(xún)自己的郵箱密碼與登入情況。

是的，網(wǎng)易“攤上事了”

這一天，一個(gè)名為烏云的信息安全領(lǐng)域網(wǎng)站，宣布發(fā)現(xiàn)新漏洞，此漏洞將導(dǎo)致網(wǎng)易163、126郵箱過(guò)億數(shù)據(jù)泄漏，涉及郵箱賬號(hào)、密碼、用戶(hù)密保等。

“烏云”飄來(lái)，對(duì)于網(wǎng)友來(lái)說(shuō)，自己的iCloud帳號(hào)可能被黑，綁定的iPhone手機(jī)被勒索敲詐等。烏云表示，根源是，用戶(hù)都采用了網(wǎng)易郵箱作為iCloud帳號(hào)。繼而以致使用網(wǎng)易郵箱綁定淘寶、支付寶、 蘋(píng)果 iCloud和QQ等帳號(hào)用戶(hù)出現(xiàn)異常，需要馬上解除綁定關(guān)系。

這樣的消息，對(duì)于遠(yuǎn)在美國(guó)的蘋(píng)果公司也人心惶惶，因?yàn)槠渲惺苡绊懕容^嚴(yán)重的是iPhone用戶(hù)。綁定網(wǎng)易郵箱的Apple ID被鎖成磚，這導(dǎo)致了用戶(hù)手機(jī)直接不能使用。似乎不關(guān)蘋(píng)果的事兒，但是可愛(ài)的、不知情的網(wǎng)民對(duì)于蘋(píng)果也產(chǎn)生了抱怨。

位于廣州的網(wǎng)易總部高管正在討論如何解決危機(jī)方案的時(shí)候，驅(qū)不散的烏云連續(xù)出鏡，他們認(rèn)為這次漏洞涉及近億條用戶(hù)數(shù)據(jù)。烏云給焦急的網(wǎng)民提出的一個(gè)自檢辦法：登陸reg.163.com用戶(hù)中心；在風(fēng)險(xiǎn)提示處查詢(xún)近一個(gè)月的異常登錄記錄；查詢(xún)異地登陸提醒郵件。當(dāng)然，如有異常，需盡快修改密碼。

風(fēng)波一起，除了美國(guó)的蘋(píng)果公司神經(jīng)緊張，就在西子湖畔的支付寶公司也通過(guò)第三方渠道散播消息。即便事實(shí)如此，一位專(zhuān)家為支付寶站臺(tái)：攻擊者有可能通過(guò)網(wǎng)易郵箱盜竊支付寶帳號(hào)密碼，但支付寶有自己的安全體系以及數(shù)字證書(shū)等驗(yàn)證方式，手機(jī)也在用戶(hù)手里，因此支付寶資金的風(fēng)險(xiǎn)在可控范圍內(nèi)。

可見(jiàn)，“烏云”成團(tuán)。一條公告，似乎把活躍在國(guó)內(nèi)的幾大知名IT公司都卷了進(jìn)來(lái)。有業(yè)界人士調(diào)侃，看過(guò)電視劇《亮劍》的朋友，可能發(fā)現(xiàn)了相似的劇情，李云龍為救新婚妻子攻打平安縣城的簡(jiǎn)單決定，卻撬動(dòng)了整個(gè)華北對(duì)日作戰(zhàn)格局。

但是，作為浙商的優(yōu)秀代表，丁磊創(chuàng)立的網(wǎng)易公司并沒(méi)有開(kāi)啟強(qiáng)大公關(guān)攻勢(shì)，這就是網(wǎng)易的強(qiáng)大之處，后廚再亂，出來(lái)的菜品照樣有條不紊，他們的應(yīng)對(duì)選擇與丁磊的冷靜而沉著性格一樣。

48小時(shí)的網(wǎng)易危機(jī)

在烏云集結(jié)兩天后，網(wǎng)易正式發(fā)文，頃刻間，看客與用戶(hù)平復(fù)了恐慌的心情，開(kāi)始恢復(fù)“該吃吃、該喝喝、該干啥干啥”的正常情緒。

作為傳統(tǒng)四大門(mén)戶(hù)之一的網(wǎng)易公司，其郵箱團(tuán)隊(duì)鄭重聲明，此消息不實(shí)。作為佐證，穿紅馬甲工服的網(wǎng)易技術(shù)專(zhuān)家連續(xù)進(jìn)行技術(shù)排查，正式宣布，網(wǎng)易郵箱不存在自身數(shù)據(jù)泄露問(wèn)題。

網(wǎng)易郵箱的用戶(hù)遍布大江南北，網(wǎng)民習(xí)慣了網(wǎng)易郵箱ID作為其他平臺(tái)的登陸賬號(hào)，部分用戶(hù)在其他網(wǎng)站使用了和網(wǎng)易郵箱相同的帳號(hào)密碼，其他網(wǎng)站的帳號(hào)信息泄露，被不法分子利用。

隨著網(wǎng)易正式聲明的發(fā)布，郵箱在48小時(shí)之后，特別強(qiáng)調(diào)了自身各種強(qiáng)大優(yōu)勢(shì)，比如，他們擁有國(guó)內(nèi)最高等級(jí)，同時(shí)也是郵件系統(tǒng)領(lǐng)域唯一的最高級(jí)別的安全證書(shū)EAL3+，是最值得信賴(lài)的賬號(hào)系統(tǒng)之一。

又比如，網(wǎng)易郵箱在安全技術(shù)領(lǐng)域持續(xù)升級(jí)，保持在安全技術(shù)領(lǐng)域的領(lǐng)先地位，為廣大用戶(hù)郵件系統(tǒng)安全保駕護(hù)航。

甚至，網(wǎng)易郵箱團(tuán)隊(duì)還建議網(wǎng)民，不要在其他平臺(tái)使用其賬號(hào)作為登入方式。貌似，網(wǎng)易的“孩子”只有在網(wǎng)易才能健康而安全。反之，目前各類(lèi)平臺(tái)技術(shù)參差不齊，在安全級(jí)別較低的普通網(wǎng)站使用與網(wǎng)易郵箱賬戶(hù)，進(jìn)行金融支付等高安全需求平臺(tái)相同的賬號(hào)密碼體系極容易出現(xiàn)悲劇。

至此，一場(chǎng)比“非主流相聲”演出還精彩的劇情完全反轉(zhuǎn)，網(wǎng)易郵箱用戶(hù)在松了一口氣之后，網(wǎng)易繼續(xù)“捧哏”包袱，他們回顧了自己18年郵箱運(yùn)營(yíng)之路，認(rèn)為18年修煉的寶典，產(chǎn)品安全是其立足之本，還傾述了“只為追求最極致的安全服務(wù)”而努力的宗旨。而對(duì)于烏云網(wǎng)，網(wǎng)易嚴(yán)肅的表示：在成長(zhǎng)的道路上，我們非常歡迎廣大用戶(hù)給予反饋和建議，網(wǎng)易郵箱團(tuán)隊(duì)將認(rèn)真聆聽(tīng)采納。但對(duì)任何惡意重傷的不實(shí)報(bào)道，網(wǎng)易公司將保留追究法律責(zé)任的權(quán)利。

至此，當(dāng)忠實(shí)的網(wǎng)易郵箱用戶(hù)回去睡個(gè)安穩(wěn)覺(jué)時(shí)，而關(guān)注此事件的業(yè)界人士卻再次開(kāi)啟了信息安全話題的討論。

對(duì)于海量網(wǎng)絡(luò)數(shù)據(jù)保護(hù)，不僅僅是企業(yè)自身本著為用戶(hù)負(fù)責(zé)的態(tài)度加強(qiáng)安全防范體系建設(shè)，相關(guān)法律法規(guī)也應(yīng)建立起更為嚴(yán)格的保護(hù)制度。

大數(shù)據(jù)時(shí)代的個(gè)人信息保衛(wèi)戰(zhàn)

在幾乎人人都用智能手機(jī)的今天，我們的通信從3G時(shí)代進(jìn)入4G時(shí)代，智能手機(jī)的功能和應(yīng)用也越來(lái)越多，只有想不到，沒(méi)有做不到。我們開(kāi)始熱衷于體驗(yàn)智能手機(jī)給我們帶來(lái)的新鮮和便利，但是，我們卻忽略了最基本的個(gè)人信息安全保護(hù)。

在個(gè)人信息安全的話題中，我們?cè)?jīng)有過(guò)不少的新聞，細(xì)數(shù)起來(lái)，如數(shù)家珍：近有某些品牌的手機(jī)會(huì)詳盡記錄用戶(hù)的行蹤數(shù)據(jù)，即便使用者把定位功能關(guān)閉，仍然可以收集用戶(hù)的位置信息，遠(yuǎn)有港星陳冠希電腦送修，被恢復(fù)數(shù)據(jù)事件。好像證明了哪怕是多么的小心謹(jǐn)慎，只要有了數(shù)據(jù)存在就有可能泄露出去。

而對(duì)于我們來(lái)說(shuō)，在這個(gè)隱私趨于透明的大數(shù)據(jù)時(shí)代，個(gè)人信息的隱私安全更是不容忽視的，應(yīng)該引起人們的高度警惕。

法律專(zhuān)家的觀點(diǎn)認(rèn)為，對(duì)于海量網(wǎng)絡(luò)數(shù)據(jù)保護(hù)，不僅僅是企業(yè)自身本著為用戶(hù)負(fù)責(zé)的態(tài)度加強(qiáng)安全防范體系建設(shè)，相關(guān)法律法規(guī)也應(yīng)建立起更為嚴(yán)格的保護(hù)制度，對(duì)于竊取和傳播網(wǎng)絡(luò)加密數(shù)據(jù)的犯罪分子應(yīng)該給予嚴(yán)懲，需在立法層面建立更加細(xì)化、嚴(yán)格的行業(yè)管理標(biāo)準(zhǔn)。

網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為，應(yīng)該有專(zhuān)業(yè)技術(shù)機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作，在網(wǎng)絡(luò)監(jiān)管上，不能等到網(wǎng)絡(luò)上一大片“疑似被泄”的信息發(fā)布之后才被動(dòng)調(diào)查。而在大數(shù)據(jù)時(shí)代的今天，如果建立加強(qiáng)監(jiān)管部門(mén)與互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)管理之間的協(xié)同工作機(jī)制，將扭轉(zhuǎn)被動(dòng)的局面。

而對(duì)于用戶(hù)來(lái)說(shuō)，養(yǎng)成良好的信息安全習(xí)慣是不變的主題。就當(dāng)下來(lái)說(shuō)，在信息泛濫的網(wǎng)絡(luò)世界，基于互聯(lián)網(wǎng)個(gè)人隱私問(wèn)題的風(fēng)險(xiǎn)不僅僅來(lái)自互聯(lián)網(wǎng)公司，而來(lái)自我們自己，提高安全警惕、未雨綢繆將是你我空暇之余一個(gè)沉思。