基本确认网易邮箱沦陷了,现在的问题是绑定的一堆服务怎么挽救?

2015-10-19 14:29:33 +08:00
 kevinyoung
乌云上已经有消息了: http://www.wooyun.org/bugs/wooyun-2015-0147763 这样应该是确定了。

现在的问题是怎么补救?我能想到的有下面这些:

1. 立刻修改网易邮箱的密码。但如果有漏洞的话应该改了也不安全
2. 用网易邮箱注册 apple ID 的立刻去开启两步验证。 主要是这两天有被人锁机勒索的信息,但是我不确定开启 apple ID 两步验证能不能避免这个问题,有没有懂的朋友出来说说?
3. 我还用这个绑了支付宝,暂时没考虑到有什么不良后果并且该如何补救

希望各位也补充补充。
10500 次点击
所在节点    程序员
34 条回复
rockivy
2015-10-19 14:35:42 +08:00
卧槽, 早上刚在微博上看到网易邮箱辟谣的微博, 网易邮箱也太不靠谱了
p1n3
2015-10-19 14:35:53 +08:00
几乎不用网易产品的路过。。
cxbig
2015-10-19 14:42:58 +08:00
先改密码。支付宝可以换邮箱的。 Apple ID 该开的防护都开,银行卡解绑,换预付费充值方式。
shenqiu2015
2015-10-19 14:46:17 +08:00
密保也被破解了吗?我所有门户网站账号都是用的同一套密保
dianso
2015-10-19 14:54:25 +08:00
我 07 年就有网易邮箱的 300M 付费账号数据, MD5 加密的。当时 5000 块钱买的。那应该是最早的脱裤了,从来不用网易邮箱,最不安全。

当时 188 邮箱可以利用其它网易账号代付月费年费,就是网易点数,这个点数可以给游戏用, 1 小时 4 个。

也可以给网易其它收费项目用。

无图无真相,那我就贴图吧。当时我在淘宝卖过一段时间网易 163vip , 188 邮箱年费,开通 40 年 100 块钱,比起官方省了 NN 倍。

http://img-storage.qiniudn.com/15-10-19/33842343.jpg
http://img-storage.qiniudn.com/15-10-19/85023161.jpg
http://img-storage.qiniudn.com/15-10-19/2816505.jpg


当时我怎么没想到利用邮箱干点别的呢,看来心太小了。
iShao
2015-10-19 14:54:53 +08:00
@shenqiu2015
至少要有最基本的密码分级制度,就是不重要的网站设置个 123456 让他去玩吧
nvidiaAMD980X
2015-10-19 15:35:12 +08:00
这个网易邮箱的登入本来都是有问题的,说什么“ SSL 加密”,然没卵用!你就不能换成 HTTPS 加密吗?游戏赚了这么多钱,弄一个 HTTPS 加密有这么难吗!!!
shenqiu2015
2015-10-19 15:38:46 +08:00
怎么确定这路人甲发的不是假消息?
c0878
2015-10-19 15:47:08 +08:00
MD5 加密过的强密码还安全吗
hanwujibaby
2015-10-19 15:48:43 +08:00
@dianso 当时的 5000 也是一笔巨款了。真舍得花钱。
nvidiaAMD980X
2015-10-19 15:51:47 +08:00
@c0878 MD5 早就不安全了,至少是 SHA256 的加密才是安全的!
dianso
2015-10-19 15:54:32 +08:00
@hanwujibaby 这是稳赚不赔的,我就是传说中的洗号者。账户里的剩余点数用来给别人充值邮箱。账户里的装备和游戏币被我洗劫一空,一般点数多的账号都是在玩大话西游 2 或者梦幻西游的。
RoyLaw
2015-10-19 15:59:41 +08:00
我觉得更严重的不是泄露了密码的 MD5 ,而是泄露了密保问题和答案等信息,有了密保可以修改密码,可以尝试控制其他网站同一个人的账户。
9hills
2015-10-19 16:02:14 +08:00
@c0878 md5 不安全。网易好 low 啊,还在用 md5
chy373180
2015-10-19 16:03:56 +08:00
用网易的邮箱大师登录的别的邮箱的密码会被泄露么
hanwujibaby
2015-10-19 16:05:27 +08:00
@dianso 现在不玩这个了吗?还是冲向互联网金融 p2p 了?
gunshot
2015-10-19 16:07:26 +08:00
Yeah 居然没事?
bertonzh
2015-10-19 16:08:01 +08:00
@nvidiaAMD980X 网易邮箱的登录请求的确是 HTTPS 的。 HTTPS 底层就是 SSL/TLS 。
现在的登录页面的确可以被篡改以盗取用户信息,但是这么大的量,显然不是因为网易不上 HTTPS 导致的,而是被拖库了。
em70
2015-10-19 16:14:25 +08:00
17 号 iPhone 被恶意抹去数据锁死,帐号主邮箱密码被改,其他 iPad, mac air 也被锁,敲诈 300 ,打了很多次苹果客服转接安全部门一直打不通,让提供发票包装盒 20 天内处理,无奈 19 号早上交了赎金,密码账号就发来了,目前已经转移其他非网易邮箱了,开启两步验证三天后生效
honeycomb
2015-10-19 16:14:26 +08:00
@kevinyoung
第二条我能确认
第三条把支付宝的邮箱切换到能使用强制两步验证登陆的 qq/outlook 比较省心

@c0878
看上去似乎网易的库没有盐
然后又用 md5
那么穷举 /彩虹表打它会很方便

@bertonzh
显然只有登陆信息交换使用 TLS ,而其它内容使用明文 HTTP 不是好做法

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/229195

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX