网易邮箱泄露事件：致命疏漏or行业难题-139邮箱

本月18日，有不少网友在微博上反映称用网易邮箱绑定的包括苹果Apple ID、微博、支付宝、百度云盘、游戏等账号均遭到锁定或风险提醒。

19日下午，国内知名漏洞发布平台（乌云）上出现了一个数据泄露报告，据该报告显示，网易126/163邮箱的数据库疑似泄露，影响数量总共数亿条，涉及了邮箱账号、密码（MD5）、密保信息、注册IP以及用户生日等信息。

网易邮箱是否真的存在致命漏洞？

乌云言之凿凿，用户控诉如潮。网易邮箱随后的公关声明中数据泄露一说予以否认，不过声明中与邮箱登录界面一再向用户发出密码修改提醒，可见此事并非空穴来风。

与不久前的12306官网泄密事件一样，网易邮箱也将数据泄露渠道归咎于“第三方平台”，那么，这些“第三方平台”究竟是如何导致一场又一场互联网泄密风波的呢？

如果12306官网与网易邮箱所述为真，那么此次泄密事件则可能为于圈内人所熟知的“撞库”。

何为撞库？黑客手头掌握社工库，用其中包含的信息去测试目标网站。比如在网站A盗了a用户，在网站B盗了b用户，黑客就会相互共享，一起用两个账号密码来试CDEF……对于撞库的预防，更多的是用户从自身安全意识方面来加强防御。比如一个密码不要通用多个账户，更不要用一个邮箱账号绑定所有网上工具、保持定期修改密码、避开常见弱智密码等。

但如果网站本身存在严重技术漏洞被黑客批量窃取数据库数据，即拖库，那问题就严重多了。

相比撞库，拖库的危害和预防难度要大得多：黑客掌握某网站的高危漏洞，并且利用漏洞将用户信息尤其是密码完整盗取出来。至于盗取出来以后，黑客想干嘛就干嘛，完全由不得你。

此次网易邮箱数据泄露，有文章称因其密码存储只是基于单一的md5算法，这种单一hash加密的方式容易被采用彩虹表的方式反解。要解决这个问题，只能从加强密码保护算法的复杂程度入手。

还是拿12306官网来说事好了，12306宣称自己遭遇的泄密仅仅是因为撞库而非拖库后的密码破解，因为他们的网站数据库所有用户密码均为双重加密的非明文转换码，而非网络上流传的明文密码。而电子邮箱行业中，也有139邮箱这种采用了基于md5算法的带salt双重hash算法的密码存储方式，可以有效提升黑客拖库后破解邮箱密码的难度，即便不幸被拖库的情况下，也较难对邮箱密码进行反解。

是什么让安全成为行业难题？

作为互联网最基础最老牌的工具之一，电子邮箱已历经几十年发展，产品成熟度和安全机制健全度相对其他互联网产品要好得多，纵观国内各家主流电邮厂商，不仅都具备一套完整的防御机制来确保信息安全，风控政策也一再升级。可惜泄露事件还是屡爆不鲜，是什么让安全成为行业难题？

其实，网络安全一直不被用户足够重视。在中国，网络安全与食品安全存在相似之处：那就是让人不放心。不同之处在于，后者举国上下共同关注并监管，而前者的重要性一直不能得到人们足够的重视。大部分人认为，既不是奥巴马也不是乔布斯，何德何能让黑客盯上我？不过此次网易泄露事件，倒是给忙不迭修改密码的大家狠狠上了一课。

安全并非只是技术和设备层面的事情，对安全的意识形态层面的重视和正确认识不到位，再强大的技术和设备所能起到的作用也是极其有限的。

笔者的观点是，不管是网络用户还是产品厂商，在网络安全保护方面都同样负有责任：一方面，产品厂商需要加强自身网络的稳定性和信息的安全性，而另一方面，网络用户也需要提升自身的信息安全意识：不使用相同秘密、不随意进行支付等等。当用户的安全意识与厂商的安全技术做到同步了，不管你是用163邮箱QQ邮箱还是139邮箱，都一样安全放心。