这是一个创建于 3304 天前的主题,其中的信息可能已经有所发展或是发生改变。
乌云上已经有消息了: http://www.wooyun.org/bugs/wooyun-2015-0147763 这样应该是确定了。
现在的问题是怎么补救?我能想到的有下面这些:
1. 立刻修改网易邮箱的密码。但如果有漏洞的话应该改了也不安全
2. 用网易邮箱注册 apple ID 的立刻去开启两步验证。 主要是这两天有被人锁机勒索的信息,但是我不确定开启 apple ID 两步验证能不能避免这个问题,有没有懂的朋友出来说说?
3. 我还用这个绑了支付宝,暂时没考虑到有什么不良后果并且该如何补救
希望各位也补充补充。
现在的问题是怎么补救?我能想到的有下面这些:
1. 立刻修改网易邮箱的密码。但如果有漏洞的话应该改了也不安全
2. 用网易邮箱注册 apple ID 的立刻去开启两步验证。 主要是这两天有被人锁机勒索的信息,但是我不确定开启 apple ID 两步验证能不能避免这个问题,有没有懂的朋友出来说说?
3. 我还用这个绑了支付宝,暂时没考虑到有什么不良后果并且该如何补救
希望各位也补充补充。
 |
1
rockivy 2015-10-19 14:35:42 +08:00
卧槽, 早上刚在微博上看到网易邮箱辟谣的微博, 网易邮箱也太不靠谱了
|
 |
2
p1n3 2015-10-19 14:35:53 +08:00 via iPhone
几乎不用网易产品的路过。。
|
 |
3
cxbig 2015-10-19 14:42:58 +08:00
先改密码。支付宝可以换邮箱的。 Apple ID 该开的防护都开,银行卡解绑,换预付费充值方式。
|
 |
4
shenqiu2015 2015-10-19 14:46:17 +08:00
密保也被破解了吗?我所有门户网站账号都是用的同一套密保
|
 |
5
dianso 2015-10-19 14:54:25 +08:00
我 07 年就有网易邮箱的 300M 付费账号数据, MD5 加密的。当时 5000 块钱买的。那应该是最早的脱裤了,从来不用网易邮箱,最不安全。
当时 188 邮箱可以利用其它网易账号代付月费年费,就是网易点数,这个点数可以给游戏用, 1 小时 4 个。 也可以给网易其它收费项目用。 无图无真相,那我就贴图吧。当时我在淘宝卖过一段时间网易 163vip , 188 邮箱年费,开通 40 年 100 块钱,比起官方省了 NN 倍。 http://img-storage.qiniudn.com/15-10-19/33842343.jpg http://img-storage.qiniudn.com/15-10-19/85023161.jpg http://img-storage.qiniudn.com/15-10-19/2816505.jpg 当时我怎么没想到利用邮箱干点别的呢,看来心太小了。 |
 |
6
iShao 2015-10-19 14:54:53 +08:00 via Android
@shenqiu2015
至少要有最基本的密码分级制度,就是不重要的网站设置个 123456 让他去玩吧 |
 |
7
nvidiaAMD980X 2015-10-19 15:35:12 +08:00 via Android
这个网易邮箱的登入本来都是有问题的,说什么“ SSL 加密”,然没卵用!你就不能换成 HTTPS 加密吗?游戏赚了这么多钱,弄一个 HTTPS 加密有这么难吗!!!
|
|
8
shenqiu2015 2015-10-19 15:38:46 +08:00
怎么确定这路人甲发的不是假消息?
|
 |
9
c0878 2015-10-19 15:47:08 +08:00
MD5 加密过的强密码还安全吗
|
 |
10
hanwujibaby 2015-10-19 15:48:43 +08:00
@dianso 当时的 5000 也是一笔巨款了。真舍得花钱。
|
|
11
nvidiaAMD980X 2015-10-19 15:51:47 +08:00 via Android
@c0878 MD5 早就不安全了,至少是 SHA256 的加密才是安全的!
|
|
12
dianso 2015-10-19 15:54:32 +08:00
@hanwujibaby 这是稳赚不赔的,我就是传说中的洗号者。账户里的剩余点数用来给别人充值邮箱。账户里的装备和游戏币被我洗劫一空,一般点数多的账号都是在玩大话西游 2 或者梦幻西游的。
|
 |
13
RoyLaw 2015-10-19 15:59:41 +08:00
我觉得更严重的不是泄露了密码的 MD5 ,而是泄露了密保问题和答案等信息,有了密保可以修改密码,可以尝试控制其他网站同一个人的账户。
|
 |
15
chy373180 2015-10-19 16:03:56 +08:00
用网易的邮箱大师登录的别的邮箱的密码会被泄露么
|
|
16
hanwujibaby 2015-10-19 16:05:27 +08:00
@dianso 现在不玩这个了吗?还是冲向互联网金融 p2p 了?
|
 |
17
gunshot 2015-10-19 16:07:26 +08:00 via iPhone
Yeah 居然没事?
|
 |
18
bertonzh 2015-10-19 16:08:01 +08:00
@nvidiaAMD980X 网易邮箱的登录请求的确是 HTTPS 的。 HTTPS 底层就是 SSL/TLS 。
现在的登录页面的确可以被篡改以盗取用户信息,但是这么大的量,显然不是因为网易不上 HTTPS 导致的,而是被拖库了。 |
 |
19
em70 2015-10-19 16:14:25 +08:00 via Android
17 号 iPhone 被恶意抹去数据锁死,帐号主邮箱密码被改,其他 iPad, mac air 也被锁,敲诈 300 ,打了很多次苹果客服转接安全部门一直打不通,让提供发票包装盒 20 天内处理,无奈 19 号早上交了赎金,密码账号就发来了,目前已经转移其他非网易邮箱了,开启两步验证三天后生效
|
 |
20
honeycomb 2015-10-19 16:14:26 +08:00  1
@kevinyoung
第二条我能确认 第三条把支付宝的邮箱切换到能使用强制两步验证登陆的 qq/outlook 比较省心 @c0878 看上去似乎网易的库没有盐 然后又用 md5 那么穷举 /彩虹表打它会很方便 @bertonzh 显然只有登陆信息交换使用 TLS ,而其它内容使用明文 HTTP 不是好做法 |
|
22
nvidiaAMD980X 2015-10-19 16:20:40 +08:00 via Android
@bertonzh 我知道 HTTPS 底层协议是 SSL/TLS 。
可我前段时间登入的时候,登入页面也没有 HTTPS 的绿色小锁,更别说登入后了!买个证书就这么难吗!而且也不知道是 256bit 的 SSL 还是 128bit 的 SSL ! 全程 HTTPS 加密有这么难吗? 垃圾的网易! |
 |
23
xdy0322 2015-10-19 16:54:57 +08:00
直接注销换个 gmail 的 apple id 可以么?
|
 |
24
zhjits 2015-10-19 17:06:41 +08:00
@nvidiaAMD980X SSL 和 HTTPS 在这里是一个概念
|
 |
25
x86 2015-10-19 17:07:41 +08:00
还有啥挽救的,能改的都改了然后不用 163 的了
|
 |
26
churchmice 2015-10-19 17:11:11 +08:00
@nvidiaAMD980X 邮箱全程 https 开销还是挺大的,所以一般只在登录过程中才 https
最早启用全程 https 的是 gmail,现在 qq 也有了这玩意 |
 |
27
Nixus 2015-10-19 17:37:56 +08:00
表示网易的只用了云笔记和花田,但是云笔记和花田也是用了删,删了用,然后现在是删除状态!
记得高中那时候,第一次知道邮箱这玩意儿,还是在一个同名的同龄人的介绍下知道的。当时他用自己的网易邮箱给自己的网易邮箱发邮件(因为不知道发给谁),不一会儿就收到了,然后我们都觉得很神奇! 好像是 02 年前后的事情吧! 之前用过 126 邮箱,不过那也是 n 年以前的事情了,现在主要用的邮箱有 gmail 和 outlook , qq 只用来收账单; 说真的,锅内邮箱真的太垃圾了,包括 QQmail ,虽然 QQmail 已经是国内最好的,但是还是很垃圾! |
 |
29
xiaonianji 2015-10-19 19:37:19 +08:00
如何快速查询都帮了哪些服务呢?都忘记了
|
 |
31
zander 2015-10-19 19:48:14 +08:00
@xiaonianji 你有 1password 之类的东西的话,直接在里边搜邮箱就出来了。
|
 |
32
binux 2015-10-19 19:51:04 +08:00
@nvidiaAMD980X 你的喷点能一次找准吗...
|
 |
34
random2case 2016-02-27 00:38:40 +08:00
第一,俺没记错的话, gmail 有一个强大的功能,代收邮箱,甚至可以把 163 注册过的服务都带过来,换成 gmail 邮箱验证的,楼主应该试试这个方法。
第二,尽量做到,一个邮箱一个服务,尽量多注册不同的邮箱,这样一个邮箱沦陷,不会波及其他的。最重要的当然注册到 gmail 上去,俺这重要性往下排。 第三,第一条貌似对楼主过期了~~~路过路过 |
Select Language