从今天中午开始,安全圈个各个微信群就有人分享出了据传的某邮箱泄露的52G数据的下载链接。其实在几个月以前就有白帽子在wooyun上爆出过某易数据泄露的消息,只是当时很多人没有具体的数据,无法确认真实性。像当年CSDN等网站泄露数据的事件一样,具体的数据下载链接还是流传出来了。中午随手下了个,发现是需要解压密码的。后来小伙伴们都说是假的数据,就删除了。
晚上发现微信群朋友圈有更多的人在分享这个下载链接,而且有了解压密码,就写了个脚本简单测试了500条,成功登录了347个,成功率是69%。由于不是随机抽取的,是按照顺序抽取的500条,因此这个统计的成功率可能会偏高,如图:
随手登录的几个已经都被置为高危了,都需要回填图片验证码才能成功登录,并且发现几个邮箱在15年11月份左右就已经有异常现象了。
泄露的文件中,密码都是明文密码,通过此一点猜测是脱裤的可能性不大,因为很难相信某易邮箱密码会像当年的CSDN一样,都是明文存储在数据库中的!猜测很大的可能是由其它泄露的各种数据库中筛选出来的这么多数据,不过测试的登录成功率还是有点高的,建议小伙伴们去检查自己的网易邮箱,不管是不是真的泄露,修改密码还是很有必要的。
原文始发于微信公众号(毕方安全实验室):预警:是时候修改某易邮箱密码了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论