V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kevinyoung
V2EX  ›  程序员

基本确认网易邮箱沦陷了,现在的问题是绑定的一堆服务怎么挽救?

  •  
  •   kevinyoung · 2015-10-19 14:29:33 +08:00 · 10451 次点击
    这是一个创建于 3304 天前的主题,其中的信息可能已经有所发展或是发生改变。
    乌云上已经有消息了: http://www.wooyun.org/bugs/wooyun-2015-0147763 这样应该是确定了。

    现在的问题是怎么补救?我能想到的有下面这些:

    1. 立刻修改网易邮箱的密码。但如果有漏洞的话应该改了也不安全
    2. 用网易邮箱注册 apple ID 的立刻去开启两步验证。 主要是这两天有被人锁机勒索的信息,但是我不确定开启 apple ID 两步验证能不能避免这个问题,有没有懂的朋友出来说说?
    3. 我还用这个绑了支付宝,暂时没考虑到有什么不良后果并且该如何补救

    希望各位也补充补充。
    34 条回复    2016-02-27 00:38:40 +08:00
    rockivy
        1
    rockivy  
       2015-10-19 14:35:42 +08:00
    卧槽, 早上刚在微博上看到网易邮箱辟谣的微博, 网易邮箱也太不靠谱了
    p1n3
        2
    p1n3  
       2015-10-19 14:35:53 +08:00 via iPhone
    几乎不用网易产品的路过。。
    cxbig
        3
    cxbig  
       2015-10-19 14:42:58 +08:00
    先改密码。支付宝可以换邮箱的。 Apple ID 该开的防护都开,银行卡解绑,换预付费充值方式。
    shenqiu2015
        4
    shenqiu2015  
       2015-10-19 14:46:17 +08:00
    密保也被破解了吗?我所有门户网站账号都是用的同一套密保
    dianso
        5
    dianso  
       2015-10-19 14:54:25 +08:00
    我 07 年就有网易邮箱的 300M 付费账号数据, MD5 加密的。当时 5000 块钱买的。那应该是最早的脱裤了,从来不用网易邮箱,最不安全。

    当时 188 邮箱可以利用其它网易账号代付月费年费,就是网易点数,这个点数可以给游戏用, 1 小时 4 个。

    也可以给网易其它收费项目用。

    无图无真相,那我就贴图吧。当时我在淘宝卖过一段时间网易 163vip , 188 邮箱年费,开通 40 年 100 块钱,比起官方省了 NN 倍。

    http://img-storage.qiniudn.com/15-10-19/33842343.jpg
    http://img-storage.qiniudn.com/15-10-19/85023161.jpg
    http://img-storage.qiniudn.com/15-10-19/2816505.jpg


    当时我怎么没想到利用邮箱干点别的呢,看来心太小了。
    iShao
        6
    iShao  
       2015-10-19 14:54:53 +08:00 via Android
    @shenqiu2015
    至少要有最基本的密码分级制度,就是不重要的网站设置个 123456 让他去玩吧
    nvidiaAMD980X
        7
    nvidiaAMD980X  
       2015-10-19 15:35:12 +08:00 via Android
    这个网易邮箱的登入本来都是有问题的,说什么“ SSL 加密”,然没卵用!你就不能换成 HTTPS 加密吗?游戏赚了这么多钱,弄一个 HTTPS 加密有这么难吗!!!
    shenqiu2015
        8
    shenqiu2015  
       2015-10-19 15:38:46 +08:00
    怎么确定这路人甲发的不是假消息?
    c0878
        9
    c0878  
       2015-10-19 15:47:08 +08:00
    MD5 加密过的强密码还安全吗
    hanwujibaby
        10
    hanwujibaby  
       2015-10-19 15:48:43 +08:00
    @dianso 当时的 5000 也是一笔巨款了。真舍得花钱。
    nvidiaAMD980X
        11
    nvidiaAMD980X  
       2015-10-19 15:51:47 +08:00 via Android
    @c0878 MD5 早就不安全了,至少是 SHA256 的加密才是安全的!
    dianso
        12
    dianso  
       2015-10-19 15:54:32 +08:00
    @hanwujibaby 这是稳赚不赔的,我就是传说中的洗号者。账户里的剩余点数用来给别人充值邮箱。账户里的装备和游戏币被我洗劫一空,一般点数多的账号都是在玩大话西游 2 或者梦幻西游的。
    RoyLaw
        13
    RoyLaw  
       2015-10-19 15:59:41 +08:00
    我觉得更严重的不是泄露了密码的 MD5 ,而是泄露了密保问题和答案等信息,有了密保可以修改密码,可以尝试控制其他网站同一个人的账户。
    9hills
        14
    9hills  
       2015-10-19 16:02:14 +08:00
    @c0878 md5 不安全。网易好 low 啊,还在用 md5
    chy373180
        15
    chy373180  
       2015-10-19 16:03:56 +08:00
    用网易的邮箱大师登录的别的邮箱的密码会被泄露么
    hanwujibaby
        16
    hanwujibaby  
       2015-10-19 16:05:27 +08:00
    @dianso 现在不玩这个了吗?还是冲向互联网金融 p2p 了?
    gunshot
        17
    gunshot  
       2015-10-19 16:07:26 +08:00 via iPhone
    Yeah 居然没事?
    bertonzh
        18
    bertonzh  
       2015-10-19 16:08:01 +08:00
    @nvidiaAMD980X 网易邮箱的登录请求的确是 HTTPS 的。 HTTPS 底层就是 SSL/TLS 。
    现在的登录页面的确可以被篡改以盗取用户信息,但是这么大的量,显然不是因为网易不上 HTTPS 导致的,而是被拖库了。
    em70
        19
    em70  
       2015-10-19 16:14:25 +08:00 via Android
    17 号 iPhone 被恶意抹去数据锁死,帐号主邮箱密码被改,其他 iPad, mac air 也被锁,敲诈 300 ,打了很多次苹果客服转接安全部门一直打不通,让提供发票包装盒 20 天内处理,无奈 19 号早上交了赎金,密码账号就发来了,目前已经转移其他非网易邮箱了,开启两步验证三天后生效
    honeycomb
        20
    honeycomb  
       2015-10-19 16:14:26 +08:00   ❤️ 1
    @kevinyoung
    第二条我能确认
    第三条把支付宝的邮箱切换到能使用强制两步验证登陆的 qq/outlook 比较省心

    @c0878
    看上去似乎网易的库没有盐
    然后又用 md5
    那么穷举 /彩虹表打它会很方便

    @bertonzh
    显然只有登陆信息交换使用 TLS ,而其它内容使用明文 HTTP 不是好做法
    dong3580
        21
    dong3580  
       2015-10-19 16:18:56 +08:00
    @em70
    这么诚信,把对方的信息公开吧。
    nvidiaAMD980X
        22
    nvidiaAMD980X  
       2015-10-19 16:20:40 +08:00 via Android
    @bertonzh 我知道 HTTPS 底层协议是 SSL/TLS 。
    可我前段时间登入的时候,登入页面也没有 HTTPS 的绿色小锁,更别说登入后了!买个证书就这么难吗!而且也不知道是 256bit 的 SSL 还是 128bit 的 SSL !
    全程 HTTPS 加密有这么难吗?
    垃圾的网易!
    xdy0322
        23
    xdy0322  
       2015-10-19 16:54:57 +08:00
    直接注销换个 gmail 的 apple id 可以么?
    zhjits
        24
    zhjits  
       2015-10-19 17:06:41 +08:00
    @nvidiaAMD980X SSL 和 HTTPS 在这里是一个概念
    x86
        25
    x86  
       2015-10-19 17:07:41 +08:00
    还有啥挽救的,能改的都改了然后不用 163 的了
    churchmice
        26
    churchmice  
       2015-10-19 17:11:11 +08:00
    @nvidiaAMD980X 邮箱全程 https 开销还是挺大的,所以一般只在登录过程中才 https
    最早启用全程 https 的是 gmail,现在 qq 也有了这玩意
    Nixus
        27
    Nixus  
       2015-10-19 17:37:56 +08:00
    表示网易的只用了云笔记和花田,但是云笔记和花田也是用了删,删了用,然后现在是删除状态!

    记得高中那时候,第一次知道邮箱这玩意儿,还是在一个同名的同龄人的介绍下知道的。当时他用自己的网易邮箱给自己的网易邮箱发邮件(因为不知道发给谁),不一会儿就收到了,然后我们都觉得很神奇!
    好像是 02 年前后的事情吧!

    之前用过 126 邮箱,不过那也是 n 年以前的事情了,现在主要用的邮箱有 gmail 和 outlook , qq 只用来收账单;

    说真的,锅内邮箱真的太垃圾了,包括 QQmail ,虽然 QQmail 已经是国内最好的,但是还是很垃圾!
    glance
        28
    glance  
       2015-10-19 17:41:49 +08:00
    @xdy0322 可以的, 我前几天刚换了
    xiaonianji
        29
    xiaonianji  
       2015-10-19 19:37:19 +08:00
    如何快速查询都帮了哪些服务呢?都忘记了
    breeswish
        30
    breeswish  
       2015-10-19 19:47:16 +08:00
    @Nixus 咦只有我觉得 QQ 邮箱好看也好用?
    zander
        31
    zander  
       2015-10-19 19:48:14 +08:00
    @xiaonianji 你有 1password 之类的东西的话,直接在里边搜邮箱就出来了。
    binux
        32
    binux  
       2015-10-19 19:51:04 +08:00
    @nvidiaAMD980X 你的喷点能一次找准吗...
    Rorysky
        33
    Rorysky  
       2015-10-19 22:13:22 +08:00
    @gunshot 用 yeah 的表示似乎是的
    random2case
        34
    random2case  
       2016-02-27 00:38:40 +08:00
    第一,俺没记错的话, gmail 有一个强大的功能,代收邮箱,甚至可以把 163 注册过的服务都带过来,换成 gmail 邮箱验证的,楼主应该试试这个方法。
    第二,尽量做到,一个邮箱一个服务,尽量多注册不同的邮箱,这样一个邮箱沦陷,不会波及其他的。最重要的当然注册到 gmail 上去,俺这重要性往下排。
    第三,第一条貌似对楼主过期了~~~路过路过
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3590 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 04:33 · PVG 12:33 · LAX 20:33 · JFK 23:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.