V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
mcone
V2EX  ›  分享发现

网易邮箱 5e 条泄露的事儿终于在乌云见到了

  •  
  •   mcone · 2015-10-19 14:27:42 +08:00 · 9438 次点击
    这是一个创建于 2231 天前的主题,其中的信息可能已经有所发展或是发生改变。

    (话说是该发到这个区么,表示不对的话请管理员帮忙移动,谢谢……@Livid )

    不说了,含泪改支付宝账号去了,当年真是年少不懂事儿…………

    http://www.wooyun.org/bugs/wooyun-2015-0147763

    第 1 条附言  ·  2015-10-19 17:51:07 +08:00
    被顶上来我就多说几句吧,也算是方便大家了……

    下午改了支付宝和淘宝的登录账号,更改位置挺明显的,手机接受个验证码就 OK
    同学改了 appleID 登录账号,也挺简单的,按照官网一步步引导下去就行了

    其他的就不清楚了,大家可以补充下,万幸我主要还是靠 gmail 注册各类服务…………

    比较恶心的是密码保护问题一起泄露了,虽然 md5 不一定能反查到,但是一旦查到真的就彻底跪了,目前猪厂是可以直接密保问题重置密码的…………下午想去修改密码保护问题,发现需要原问题的答案才行,打客服电话,无解……只好改了随机密码再加上一个动态口令,放起来珍藏算了……
    第 2 条附言  ·  2015-10-19 18:03:32 +08:00

    [后续] 散了吧,黄易的猪公关又开始行动了,事实证明这东西一辟谣就是真的了……

    我要是相信密保问题生日啥的能撞出来,我是猪……

    附一个 pastebin 上的样本大家可以玩一下(目测已被玩烂)
    http://pastebin.com/NHCXEfMH

    猪厂最新公关

    47 条回复    2015-10-20 14:08:53 +08:00
    superdong
        1
    superdong   2015-10-19 15:02:27 +08:00
    不知道为什么网易总出这种不靠谱的事情,
    所谓的树大招风?还是不靠谱呢?
    cxbig
        2
    cxbig   2015-10-19 15:04:37 +08:00
    树大招风是肯定的,几十年不思进取才是关键所在。
    hinate
        3
    hinate   2015-10-19 15:06:42 +08:00 via Android
    网易之前还在辟谣→_→
    czmecho
        4
    czmecho   2015-10-19 15:14:36 +08:00 via Android
    感觉网易安全上好不靠谱呀。
    imn1
        5
    imn1   2015-10-19 15:16:48 +08:00
    去年网易某个帐号被盗了,是偶然发现全国各地都有登录,而且都跟游戏(应该是网易的游戏吧?)有关,但我没玩网游,所以确认被盗
    神奇的是对方没有改密码,却给加了密保?%#^($#%&*&^*[email protected]+)()(!……当然我是没法知道这个密保,无法改密码,只能废弃了
    无奈,把某宝关联的这个邮箱改为别家,先是要发给这个邮箱确认,怀着忐忑的心情收了点确认,然后迅速彻底删掉这封确认函……唉,自此把两个较重要的网易邮箱加了手机(真心不想给手机号国内的网站),其他加了密保,然后不敢再挂靠重要网站了
    Slienc7
        6
    Slienc7   2015-10-19 15:58:46 +08:00
    日了狗,存的竟然是 md5 。

    邮箱有个所谓的 SSL 登录更 TM 扯蛋了,只有提交密码用 SSL 。
    Nausicaa
        7
    Nausicaa   2015-10-19 15:59:22 +08:00
    这个泄露恐怕有点年头了,几年前就发现网易微博的帐号有问题,全国各地天南地北的在登录
    xuyinan503
        8
    xuyinan503   2015-10-19 16:13:18 +08:00
    日啊,密码不能修改,要我 N 年前的旧手机号才让修改
    aha
        9
    aha   2015-10-19 16:18:59 +08:00
    借楼问国内邮箱还有别的推荐吗?
    GKLuke
        10
    GKLuke   2015-10-19 16:19:56 +08:00
    已经换密码了了,在考虑是不是每次登录都要开短信验证。。。网易邮箱有两步验证么
    imn1
        11
    imn1   2015-10-19 16:40:36 +08:00
    我看了 N 遍都没明白这行是啥意思——
    公开时间: 2015-12-03 13:57

    现在是哪个朝代?
    wy315700
        12
    wy315700   2015-10-19 16:42:38 +08:00
    @imn1 就是到了那天会公开漏洞信息
    jedyu
        13
    jedyu   2015-10-19 16:43:01 +08:00
    @imn1

    三、漏洞披露流程:
    普通漏洞:
    1 , 5 天厂商确认周期( 5 天内未确认视为忽略,直接公开);
    2 , 10 天后向核心及相关领域专家公开;
    3 , 20 天后向普通白帽子公开;
    4 , 30 天后向实习白帽子公开;
    5 , 45 天后向公众公开;
    6 ,期间厂商可自行提前公开,向普通白帽公开的时候可以使用乌云币购买提前查看漏洞细节。

    通用型漏洞:
    1 , 5 天厂商确认周期( 5 天内未确认视为忽略,但不公开,直接进入 2 );
    2 ,确认 3 天后对安全合作伙伴公开
    3 , 10 天后向核心及相关领域专家公开;
    4 , 20 天后向普通白帽子公开;
    5 , 40 天后向实习白帽子公开;
    6 , 90 天后向公众公开;
    7 , 90 天内都不支持付乌云币提前查看漏洞。

    http://www.wooyun.org/notice.php?action=view&id=28
    DreamCMS
        14
    DreamCMS   2015-10-19 16:43:16 +08:00
    2015-10-19 : 细节已通知厂商并且等待厂商处理中 看网易如何接
    imn1
        15
    imn1   2015-10-19 16:45:12 +08:00
    @jedyu
    @wy315700
    哦,不怎么泡乌云,秀智商了, sorry!
    sunyang
        16
    sunyang   2015-10-19 16:45:37 +08:00
    @imn1 天朝六十七年 九月初七
    zro
        17
    zro   2015-10-19 16:54:32 +08:00
    天啊,幸亏上面没放什么东西。。。(估计放了我也不记得了)
    wjfz
        18
    wjfz   2015-10-19 16:54:48 +08:00
    卧槽,我怎么感觉我的也被设置密保了。
    hoogle
        19
    hoogle   2015-10-19 16:56:57 +08:00 via iPhone
    拼死也要用 Gmail
    sorcerer
        20
    sorcerer   2015-10-19 16:58:41 +08:00
    乌云上的厂商信息从网易变成某邮箱了
    zhujinliang
        21
    zhujinliang   2015-10-19 17:04:30 +08:00
    网易药丸 2333333
    Showfom
        22
    Showfom   2015-10-19 17:15:54 +08:00
    还好我网易里没啥东西 23333333
    iheshix
        23
    iheshix   2015-10-19 17:18:56 +08:00
    话说 MD5 怎么就不安全了呢?其实 MD5 应该还是安全吧,总比明文好很多吧。
    yxaaa123
        24
    yxaaa123   2015-10-19 17:34:23 +08:00
    @xuyinan503 我的也是,还要申诉,果断放弃了,把邮箱清空了
    Luzifer
        25
    Luzifer   2015-10-19 18:00:16 +08:00
    当年真是年少不懂事儿, 也是用它注册的淘宝。



    应该两个月之前就被曰了。 我当时纳闷我的旺旺发了一堆广告。手机淘宝有显示。



    十条信息里的八条,两条是我刚刚登陆的,没截。

    被轮奸!不要不要的。

    可是改网易邮箱密码它还不让改,要密保答案,鬼还记得。

    有数据了 @ 我一下。 这个密码可以撞我一堆账号。 以前全是一个密码。
    d7101120120
        26
    d7101120120   2015-10-19 18:21:11 +08:00
    @Luzifer 我是当年玩天下三的时候下了一个密保,之后没玩就删掉了,结果后来发现邮箱改密码也要密保。
    Luzifer
        27
    Luzifer   2015-10-19 18:22:24 +08:00
    微博上说 “ 早在 6 月份就有用户网易邮箱做账号的 stream 账户被盗。”

    8 月份洗号洗到我了。

    心累。
    aheadlead
        28
    aheadlead   2015-10-19 18:34:37 +08:00
    @iheshix 真的是不行的
    freehehe
        29
    freehehe   2015-10-19 19:19:53 +08:00
    @Luzifer 这是真事啊?我的 steam 怪不得被异地登陆
    myywin
        30
    myywin   2015-10-19 20:06:35 +08:00 via iPhone
    @imn1 我的一个僵尸小号也是
    密码 6 位纯数字 无密保
    被盗了之后密码没改 却加了密保问题 身份证信息和安全码
    只能再绑个自己的手机号压压惊了
    imn1
        31
    imn1   2015-10-19 20:19:40 +08:00
    @myywin
    你居然还加东西,密码不能改就只能废弃了,因为邮件都被人看光光了,你这不等于把身份证之类都告诉人家了?
    tedd
        32
    tedd   2015-10-19 20:25:39 +08:00 via iPhone
    不知道战网有遭没?那里我的信息挺全的,想想很担心
    dikcen
        33
    dikcen   2015-10-19 21:23:34 +08:00
    我的密保问题,看过去居然是乱码,都不知道当初写了什么问题
    VmuTargh
        34
    VmuTargh   2015-10-19 21:48:06 +08:00 via Android
    我改了网易邮箱的密码,没遇到密保…… hhh
    click
        35
    click   2015-10-19 21:57:41 +08:00
    @VmuTargh 你改成功没?我在知道原密码的情况下修改密码网易要我用手机设置。可是我关联号码是以前的旧手机号。我想取消的旧手机号,尼玛的要我上传身份证。
    JiPhone
        36
    JiPhone   2015-10-19 22:09:50 +08:00
    幸好没注册黄易,躲此一劫,以前 MITM 黄易和唯品会,密码都很容易获得呀
    canautumn
        37
    canautumn   2015-10-19 22:14:46 +08:00
    使用唯一复杂密码的表示登录历史正常。
    myywin
        38
    myywin   2015-10-19 22:18:23 +08:00
    @imn1
    身份信息不是我的啊
    就绑定的手机号是我的了 不过网易好像只显示后 4 位吧
    imn1
        39
    imn1   2015-10-19 22:20:41 +08:00
    @myywin
    我理解错了
    我那帐号上了口令,没上身份,看那登录信息,感觉成了公厕~
    aisin
        40
    aisin   2015-10-19 22:22:05 +08:00
    我多年不用的 126 邮箱,昨天登录进去一看,好家伙,每天都在全国各地登录
    volqiu
        41
    volqiu   2015-10-19 22:34:01 +08:00
    @aisin 截图来观摩下,话说我的没遭殃,换了新密码, 但是密保和密保邮箱早丢了,看来这个账号要废了
    aisin
        42
    aisin   2015-10-19 22:43:57 +08:00
    @aisin 当时没截图,现在截图截不到了,都被我自己的登录记录覆盖了
    happypy1
        43
    happypy1   2015-10-20 08:01:02 +08:00
    我的前几天在浙江登录过。。
    lqzhgood
        44
    lqzhgood   2015-10-20 08:53:30 +08:00
    撞库可以撞出 MD5 也是醉了~~
    3yvsye
        45
    3yvsye   2015-10-20 08:57:13 +08:00
    126 算是我第一个邮箱用了 12 年,平常就用来收广告和账单,已经换了 N 次密码,绑了手机和设置了客户端登陆授权码后才感觉安全一点,不说了赶快去改密码=,=
    zjuster
        46
    zjuster   2015-10-20 10:52:51 +08:00   ❤️ 1
    @Luzifer 网易被盗确实一两个月前就有消息了。当时网易还辟谣了。现在爆出来,应该是黑产已经用完了吧。
    flyflown
        47
    flyflown   2015-10-20 14:08:53 +08:00
    用的 outlook 登录的网易云音乐,会中招吗
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1439 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:39 · PVG 01:39 · LAX 09:39 · JFK 12:39
    ♥ Do have faith in what you're doing.