移动139邮箱被曝出漏洞

继前段时间网易邮箱闹出漏洞风波之后，最近，139邮箱也被曝存在泄密漏洞，而且这项漏洞可以让别人以最高权限完整浏览你的邮箱记录。

近期，国内安全测试公司漏洞盒子发现，当手机开放热点分享时，连接热点的人可以随意登录并操作热点手机的移动邮箱和移动梦网。

如今为方便用户，许多邮箱都提供免密登陆功能，139邮箱也一样，只要成功登陆过，再次使用浏览器打开http://mail.139.com页面时，用户的移动邮箱就会自动登录，而无需进行任何身份认证。

对于这一点，移动官网是这样的介绍的：

也就是说，邮箱对登陆用户的识别仅限于运营商网络和非运营商网络的差别，即当用户处于非运营商网络下时，邮箱会对其进行身份验证；而当用户处于运营商网络下时，则不对用户进行验证，直接登录邮箱。

我们知道，手机热点是将手机接收的GPRS、3G或4G信号转化为wifi信号发出去的技术，其本质仍然是运营商网络。

那么当B手机使用A手机的热点来登录139邮箱时，邮箱是否会进行身份鉴别呢？

对此，漏洞检测技术团队专门做了一个软件，结果果然可以直接读取热点手机的139邮箱数据。

除了邮箱外，移动梦网也可以直接登录，无需任何验证。

这种漏洞可能导致以下泄密情况的发生。

熟人间偷窥邮件：只要骗你打开热点，别人就可以在自己手机上看完你的邮件记录，而你根本发现不了。

针对邮箱漏洞发起攻击，是几乎每个黑客都想完成或者正在努力实现的目标，没有一款软件是绝对完美的。雅虎邮箱曾拥有世界上最大的用户群体，然而从去年起，雅虎就不断曝出泄密事件，最终靠实的泄密用户竟然达到30亿之多，这意味着没有一个用户能逃出这场泄露案。

雅虎本身的作为是一方面，另一方面，邮箱作为一款软件产品，本身就具备明文存储、以及潜在的漏洞等各种风险，本质上就不是一个绝对安全的存在，理论上，市面上任何一款邮箱都存在被攻击的可能，

谷歌旗下Gmail的用户月活超过10亿，作为用户群体最广泛的口碑邮箱，邮件安全问题也同样困扰着Gmail的安全团队。谷歌安全团队创始人亚德金丝（Heather Adkins）就曾说，永远别将个人信息写进电子邮件，因为黑客无处不在。

邮箱漏洞这么多，但作为常用沟通工具，企业显然离不了邮箱，难道就没有办法解决邮箱的安全问题吗？

其实不只是邮箱，任何一款软件都无法坚称自己绝对没有漏洞，即便目前未检出，随着技术的发展，也依然可能被攻破。对于邮箱用户而言，期待一款邮箱能解决所有安全问题是不现实的，最好的办法是：规避漏洞风险，确保邮件数据安全。

只要邮件数据足够安全，邮箱是否有漏洞就不重要了。

这个是否能实现呢？

其实规避漏洞风险并不难，作为用户，只要确保自己的邮件数据不受侵害就足够，而保证邮件数据不受侵害的最可靠办法就是——对邮件进行加密处理。

文章来源于商务密邮 邮件安全中心