10月19日下午消息，乌云今日宣布发现新漏洞，此漏洞将导致网易163/126邮箱过亿数据泄漏，涉及邮箱账号/密码/用户密保等。

　　乌云方面指出，前不久，有网友抱怨称自己的iCloud帐号被黑，绑定的iPhone手机被锁敲诈等，其共同点是都采用了网易邮箱作为iCloud帐号。

　　网友需要注意的是，使用网易邮箱绑定淘宝、支付宝、苹果iCloud和QQ等帐号用户，需要马上解除绑定关系。

　　一位不愿具名的安全领域专家称，这次漏洞涉及近5亿条用户数据。他建议未开通网易邮箱双重验证的用户尽快开通双重验证，包括修改邮箱密码。他指出因为找回密码的问题及答案的MD5值也已经泄露，攻击者将可以修改这些信息，而邮箱主人将几乎丧失控制权。由此也将导致邮箱关联的其他服务被盗。

　　专家提到，攻击者有可能通过网易邮箱盗窃支付宝帐号密码，但支付宝有自己的安全体系以及数字证书等验证方式，手机也在用户手里，因此支付宝资金的风险在可控范围内。

　　另外乌云给出的一个检查办法是，登陆reg.163.com用户中心，在风险提示处查询近一个月的异常登录记录，以及异地登陆提醒邮件。如有异常，需尽快修改密码。

针对网易邮箱出现数据泄露的传言，网易邮箱团队10月19日发出声明，称报道不实。

　　网易表示：本次事件经严密的技术排查，网易邮箱不存在自身数据泄露问题。此次事件，是由于部分用户在其他网站使用了和网易邮箱相同的账号密码，其他网站的账号信息泄露，被不法分子利用，侥幸尝试登录网易邮箱造成。”

　　网易邮箱团队提醒广大用户，在互联网上，不建议在安全级别较低的普通网站使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。避免在普通网站的账号信息泄漏后，影响到您在高安全需求平台的账号安全。

昨日（10月18日）开始，有不少网友在微博上反映称网易邮箱内容遭到泄露，虎嗅也在第一时间跟进了报道，文章中提到：

除了邮箱之外，包括苹果Apple ID、微博、支付宝、百度云盘、游戏等均遭到泄露。有不少iPhone手机用户表示，自己使用网易邮箱绑定Apple ID的手机已经被锁，并被擦除数据。对此有苹果用户进行了求证，表示该问题最早集中出现在了10月15日，被波及的用户全部使用的是网易邮箱。

这一问题爆发之后，网易也及时作出了回应，称经网易邮箱团队排查，网络谣传并不属实。网易表示，网易邮箱数据库不存在被攻击和泄露情况，同名账户被攻击和网易邮箱数据库无关。至于部分网站发给用户的密码重置邮件，网易称已经采取了各种安全保障措施，升级了风控策略，并提醒用户不要在不同网站使用相同的网易邮箱账号和密码。

但就在今天（10月19日）下午，网易就成功被乌云打脸——乌云宣布发现网易新漏洞。网易用户数据库疑似泄露，影响数量总共数亿条，泄露信息包括用户名、MD5密码、密码提示问题/答案（hash）、注册IP、生日等。网易163/126邮箱过亿数据泄漏（涉及邮箱账号/密码/用户密保等）

乌云建议用户登陆reg.163.com用户中心，在风险提示处查询近一个月的异常登录记录，以及异地登陆提醒邮件。如有异常，需尽快修改密码，改密码的同时也将密码提示答案进行更新修改，同时开启邮箱的安全防护功能。

另外，使用网易邮箱绑定淘宝、支付宝、苹果iCloud和QQ等帐号用户，需要马上解除绑定关系，因为目前，密码与保护邮箱已经没法保护你了。

截止到发稿前，网易方面暂无回应。

国产产品是否安全存疑，那我们要怎么办？

网络安全问题是老生常谈，但始终没有得到国民的普遍重视，之前虎嗅上也有一文是在谈网络安全问题的重要性。在这次“网易邮箱信息泄露”一事爆发之后，有很多网友给出了一些猜测性原因与建设性解决方案。我搬运了一些网友的机智回答，希望大家吸取自己觉得有用的。

知乎网友Tristone认为，针对网络安全问题，我们应该这样做：

1.不同账号使用不同的密码，可按照自定义的组合进行设置，如“强密码+站点名”这种组合方式，强度高又好记，同时可配合lastpass使用。

2.账号安全性分等级，重要账号使用高等级密码，一般的账号使用稍微简单的密码方便输入。

3.开启两步验证，如Gmail、Apple均有此项设置。

4.尽量使用国外大公司的产品和服务，能用Gmail就不要用网易邮箱，能用Dropbox就别选百度网盘。

说得很好，但可能首先你要知道怎么在墙内使用Gmail和Dropbox...

另一网友李如其的建议是这样的：

1.不要被网站一勾引就卖掉自己的邮箱、姓名，甚至电话去注册；要求身份证实名认证的更要提高警惕。

2.尽量不同网站用不同的密码。我自己的做法是，账号不重要的网站，用网站域名做密码。

3.在一个可靠的地方集中存储一份密码列表，比如使用 1Password、LastPass 等工具；苹果的 Safari 密码存储在 keychain，可以多设备同步，Chrome 浏览器也有同步记住密码功能。

4.临时体验、使用登录后的功能的网站，尽量去买账号，或者找公共账号。

置于这次网易信息泄露的原因，很多网友不认同“撞库”说，有微博网友、前网易员工@简悦云风发微表示了自己对于网易不争气的痛心疾首，也可以看出国内现在从普通小白到专业技术人员普遍都存在网络安全意识空白的问题：

貌似也剧透了一些网易实时的问题处理细节呢...

另外，知乎网友慕容行者认为原因可能有两个：

1、早期明文密码泄漏：类似csdn

2、网易云音乐产品问题：可能是自动登录或者明文传输密码被嗅探，类似知乎（没错，知乎是明文传密码的）

网络热传网易邮箱被完全破解，网易官方随即发表声明予以否认，乌云漏洞报告平台称数亿条网易邮箱数据泄露，怀疑是拖库所为。现在，网易的最新声明出炉了。

@网易免费邮箱 官方微博刚刚发表声明称：“今日谣传网易邮箱出现数据泄露，网易邮箱团队现郑重声明，此报道不实。”

网易在声明中指出：“网易邮箱拥有国内最高等级，同时也是邮件系统领域唯一的最高级别的安全证书EAL3+，是最值得信赖的账号系统之一……本次事件经严密技术排查，网易邮箱不存在自身数据泄露问题。此次事件，是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码，其他网站的帐号信息泄露，被不法分子利用，侥幸尝试登录网易邮箱造成。”

用专业数据讲，网易认为此事是“撞库”导致的，即黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的账户。

而根据乌云的说法，事件疑似更严重的“拖库”，即网站遭到到黑客入侵，并且整个原始数据库被窃取。

网易邮箱还提醒用户，不要在安全级别较低的网站上使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。

无论如何，赶紧修改密码自保吧。