乌云：网易163/126邮箱过亿数据泄漏（涉及邮箱密码密保等）

四点

缺陷编号：        WooYun-2015-147763
漏洞标题：        网易邮箱163/126邮箱过亿数据泄漏（涉及邮箱账号/密码/用户密保等）
http://wooyun.org/bugs/wooyun-2015-0147763

前阵子就有很多用163邮箱的 steam 账号饰品被偷了，这几天又有很多人 apple id 被盗机器被锁，多半是下游产业链 接手数据开始第N批收割了。
推荐所有网易邮箱用户都去改密码，密保也要全部改掉，请不要抱有侥幸心理。
（网易已辟谣说没有泄漏）
（这个数据库泄漏应该已经有一段时间了，可以参考 http://www.v2ex.com/t/211833）

要是你有其他网站用的是和网易邮箱一样的密码，那也改一改比较好，避免被碰撞。

因为这个导致Apple ID被盗机器被锁的用户请直接联系客服，能改回来。

推荐有心的人开始使用密码管理软件，可以参考PC区这个新鲜出炉的帖子。

绯樱月姬

邮箱我用腾讯邮箱，百度用用户名注册不用邮箱注册


网易邮箱完蛋了为啥你要专门扯一个百度云？能上传手机数据的要多少有多少吧
一黑黑俩？

—— 来自 CMDC M811, Android 4.3

endrollex

网易邮箱提醒：阻止了一次不安全的收信请求
这2个月经常收到

四点

炎夏型塞拉利昂 发表于 2015-10-18 20:52
就看见这微博一个黑的 确定大规模泄露密码了？

----发送自 HUAWEI Che1-CL10,Android 4.4.4 ...

我看了下，应该和网易没关系，还是以前泄漏的那堆社工裤，被人一波收了。

113

还好我邮箱独此一家

----发送自 Sony D5833,Android 5.1.1

混饭

上不去了，前不久刚改的密码

----发送自 Xiaomi 2014811,Android 4.4.4

horizonblue

我朋友用网易邮箱的已经被锁了,现在要给300元才能解锁....真是

四点

horizonblue 发表于 2015-10-18 22:47
我朋友用网易邮箱的已经被锁了,现在要给300元才能解锁....真是

找客服，能改回来。

无限预知

我的几个网易邮箱都是独立唯一的高强度密码，16位随机字符，目前没有发现异常。

defer

两步验证才是最终解决方案为什么不明白。

美人希

256位哈希码送到你面前也没用啊，这年头做应用不把密码保存的锅甩给用户这程序员也别当了。密码泄漏基本就是社会工程学干的，每个网站密码都不同至少可以避免撞库。

bubuyu

loveser 发表于 2015-10-18 22:19
需要怎么处理  只改网易的密码可以吗

如果你的其他密码跟网易邮箱密码一样，请改全部一致的密码。

leystage

刚到公司就听同事抱怨Apple ID被盗6s被锁，只能请假去Apple Store凭借购买凭证解锁

seducer0719

应该是撞库那一波……之前很多dota2绑定网易邮箱的人都被盗号了……

Luck

还好没事，赶忙把密码相同的都换了…………

septer

早几个月之前就看到一批163邮箱的steam帐号出问题。

新屋

我的就是网易邮箱账号的苹果设备被锁了，和我一样情况的还有好多人，一问都是163、126的。黑客留下的信息就是“手机已丢失”“错误代码”。
然后叫去联系一个lohao什么的私服游戏网站，要我冲钱来解锁。fuck

呆伟

网易邮箱我早不用了，三天两头被盗，不敢用啊

四点

新屋 发表于 2015-10-19 11:02
我的就是网易邮箱账号的苹果设备被锁了，和我一样情况的还有好多人，一问都是163、126的。黑客留下的信息就 ...

联系apple的客服能解锁把帐号改回来。

新屋

四点 发表于 2015-10-19 11:34
联系apple的客服能解锁把帐号改回来。

联系了，让我等待了几个小时。话费花了不少，但是问题没给解决。

E.C.3M.+

昨天贴吧帐号就被改掉密码...绑的邮箱用的126.幸好贴吧帐号有绑手机,不然被盗了都不知道

magicyzak

无限预知 发表于 2015-10-18 23:55
我的几个网易邮箱都是独立唯一的高强度密码，16位随机字符，目前没有发现异常。 ...

求指点～ 怎么才能同时用很多高强度随机密码又能记得住？

四点

magicyzak 发表于 2015-10-19 12:44
求指点～ 怎么才能同时用很多高强度随机密码又能记得住？

http://bbs.saraba1st.com/2b/thread-1163995-1-1.html

四点

新屋 发表于 2015-10-19 11:49
联系了，让我等待了几个小时。话费花了不少，但是问题没给解决。

不是可以让他们准备好了回拨么....

bubuyu

像Apple ID、Microsoft Account强烈建议开二步认证，即便设置成简单密码也安全得多。

新屋

四点 发表于 2015-10-19 13:03
不是可以让他们准备好了回拨么....

第一次是让我等待，说是一小时后，实际是几小时后。然后几次是回拨。
无论是我打还是他打，等来的都是无尽的等待

问题尚未解决，持续拨打中

四点

新屋 发表于 2015-10-19 13:34
第一次是让我等待，说是一小时后，实际是几小时后。然后几次是回拨。
无论是我打还是他打，等来的都是无 ...

我上上周帮人打过一次，大概就10来分钟。
估计这几天人超级多吧，我在各个社区都看到有 网易邮箱的appleid被锁+客服等很久 的说法。

CK355

草他吗，果然泄露了，http://tech.sina.com.cn/i/2015-10-19/doc-ifxivsce6930000.shtml

岬

有2步验证也能破吗？
我设置了每次登录都要验证手机验证码

四点

CK355 发表于 2015-10-19 15:05
草他吗，果然泄露了，http://tech.sina.com.cn/i/2015-10-19/doc-ifxivsce6930000.shtml

这只能说傻逼网易了....
顺便乌云地址：http://wooyun.org/bugs/wooyun-2015-0147763

螺纹

我的天…赶紧回去改支付宝…

—— 来自 Meizu MX4, Android 5.0.1

四点

炎夏型塞拉利昂 发表于 2015-10-18 20:52
就看见这微博一个黑的 确定大规模泄露密码了？

----发送自 HUAWEI Che1-CL10,Android 4.4.4 ...

现在多半是要闹大了，等网易的声明吧。

windbms

最近经常收到异常登录的提醒，是和这个泄密有关系吧

绕指流光

按着目前乌云漏洞提供的样本试了几个，要么是被人从几年前玩到现在的废弃肉鸡邮箱，要么是密码不对，社工库的可能性大一些，估计这个库不是很近的了
但是这个库牛逼之处在于居然脱到了密码保护问题和生日，这个被社工的可能性就低多了……我回家就把手头的改一遍，这时候还是谨慎一点好