乌云：网易邮箱用户资料大量泄露 疑遭黑客“脱库”

（百家特约记者 Sockets）

据乌云漏洞平台报告，网易旗下163和126邮箱系统数据库大规模泄漏，受影响用户数超过1亿，约占其用户总量的20%。

乌云白帽子“路人甲”（乌云漏洞平台的匿名漏洞报告者）在漏洞报告中指出，泄漏数据包括邮箱用户账号、密码、密码保护（问题和答案）、登录IP、生日等敏感信息。其中，密码和密码保护虽然均为加密数据，但由于所用加密算法MD5可破解，经破解后测试发现，大部分邮箱可登录，显示这批数据是新近泄漏的。

另一位乌云白帽子“紫霞仙子”透露，泄漏数据量高达数十GB。

日前疯传网易邮箱遭“破解”的消息显示，大量AppleID、微博、支付宝、百度云盘、游戏等均遭到泄露，有不少iPhone手机用户表示，自己使用网易邮箱绑定AppleID的手机已经被锁，并被远程擦除数据。据悉，这类问题最早集中出现于10月15日，受影响用户全部使用网易邮箱。

昨天，网易直指“网易邮箱遭破解”的说法为谣言，声称与网易无关，上述现象应系“撞库”所致：“经网易邮箱团队排查，网络谣传并不属实。……网易邮箱……拥有18年的技术和运维积累，获得国家最高等级安全证书EAL3+，是目前邮件系统领域最高安全级别证书。……请网易邮箱用户放心使用。”

所谓“撞库”，指在不同网站使用相同密码，其中一个网站数据库泄漏，导致其它网站被株连。网易的声明意在将安全责任外推，然而“撞库”变“脱库”，发生成体系、大规模数据泄漏，网易应难再“喊冤”。

然而，网易方面就此再次发表声明，强调安全等级，否认数据泄露，继续指责“脱库”说法为“谣言”，与昨天声明内容没有任何不同。不过就有用户在新浪微博发出网易用户中心的相关安全提醒，显示网易“外松内紧”：

究竟是“撞库”还是“脱库”？似乎成了网易方面与安全圈的技术性分歧。但如果是撞库，受影响用户数量怎么会高达亿级？更无法解释密保数据赫然在列。试问如何“撞”出密保数据来？

乌云漏洞库显示，今年来网易邮箱系统已经曝出不少高危安全漏洞，其中甚至有弱管理员口令、运维员工邮箱账号泄露等危害极大的低级错误，黑客进出其内部网络获取敏感数据如探囊取物。产品和运营如此表现，真的达到 EAL3+ 安全等级了吗？获得一张证书不难，难的是坚守责任。这份责任，包括事中，也包括事后：继续坚持辟“谣”？或者协助用户止损？至少，应该尽快通知用户更改密码吧？