互联网应急中心:网易邮箱过亿数据泄露存疑  

 乌云网于10月19日披露了网易邮箱存在漏洞的事件,并交由第三方合作机构(cncert国家互联网应急中心)处理。20日,国家互联网应急中心发布通报称,根据目前披露的泄露数据,无法支持“过亿数据泄露”这一判断。

  以下为国家互联网应急中心通报全文:

  关于乌云曝光网易邮箱过亿数据泄露的情况通报

  2015年10月19日13时57分,乌云漏洞报告平台披露“网易163/126邮箱过亿数据泄露(涉及邮箱账号/密码/用户密保等)”;15时15分, CNCERT接到网易公司投诉,称乌云曝光情况不实;15时40分,CNCERT收到乌云对该事件的处理请求。CNCERT紧急向网易和乌云了解情况,并对相关数据进行了验证,情况如下:

  1、乌云漏洞报告平台披露的网易遭泄露数据为100条,每条数据中包含一个邮箱帐号、邮箱密码的md5、密保问题、密保答案的md5等。此外,乌云平台还公布了据称为遭泄露数据的压缩包截图,但未提供具体数据;

  2、经验证,遭披露的100条数据中,帐号/密码匹配正确的邮箱为20个。

  CNCERT认为,此次事件中有部分用户受到影响,但目前已披露的数据尚无法支持“过亿数据泄露”这一判断。

  据搜狐科技了解,此前几次大规模的互联网企业用户数据泄露后,互联网上一般会同时出现相关数据库的下载资源。此次网易邮箱漏洞事件被披露后,尽管有泄露数据库压缩包截图对外发布,但目前为止互联网上并没有出现网易邮箱泄露数据库的下载文件。搜狐科技从几家国内安全企业了解到,目前为止这几家企业也没有获得泄露的数据库文件。

  猎豹移动安全专家李铁军对搜狐科技表示,这一事件的真实性有待进一步的调查。现在的焦点是要获得披露的漏洞细节或者拿到泄露的数据库文件,否则这一事件的影响就只是合理推测。一两百条数据的小库,并不能说明问题。因为通过简单的撞库等手段,甚至能获得更多网易邮箱的用户数据。

0