■ 文/武曉婷

“狼來了”之后谷歌、微軟等2.7 億個電郵遭黑客入侵

■ 文/武曉婷

郵箱的安全性歷來為世人關(guān)注，這一次，多個郵箱巨頭們集體淪陷了。

郵箱泄露問題已是全球網(wǎng)絡(luò)安全的重災(zāi)區(qū)，近日再出重大事件。在俄羅斯黑市上，大約有2.723億個被盜電子郵件和其他網(wǎng)站用戶名與密碼正在私下買賣，其中大部分是俄羅斯最受歡迎的電子郵件服務(wù)Mail.ru的用戶名和賬號，少部分則是谷歌、雅虎以及微軟等電子郵件用戶帳號。

網(wǎng)絡(luò)安全公司Hold Security創(chuàng)始人及首席信息安全官亞歷克斯·霍頓稱，在刪除復(fù)制的賬戶后，此次安全入侵事件涉及到將近5700萬個Mail.ru賬戶。而在去年底，Mail.ru剛剛宣稱它擁有6400萬個月活躍用戶。這就是說，Mail.ru的絕大多數(shù)用戶的賬戶均遭到了黑客入侵。此次安全入侵事件中被盜的數(shù)據(jù)還包括全球三大電子郵件供應(yīng)商谷歌、微軟和雅虎的數(shù)千萬個賬戶和密碼，德國和中國電子郵件供應(yīng)商的數(shù)十萬個電子郵件賬戶。其中，雅虎被入侵的Mail電子郵件賬戶為4000萬個，微軟被入侵的Hotmail賬戶為3300萬個，谷歌被入侵的Gmail賬戶數(shù)量為2400萬個。

這名黑客其后將如此大批量的郵箱信息隨意地以1美元的低廉價格放在俄國黑市上售賣。盡管目前沒有跡象表明這些主流國際郵箱因為自身漏洞被攻破，但這些郵箱用戶在各個地方遺留下的賬戶信息最終依然難逃被黑客竊取的命運。

Hold Security 在網(wǎng)站上寫道：“事實上，50盧布實在是微不足道，但對于這種事件，我們拒絕貢獻哪怕這么微不足道的金錢。這種談判在我們看來實在是相當(dāng)可笑，但結(jié)果竟然是最終黑客只要求我們到他的社交媒體頁面點贊(匿名也可以)。這是我們可以接受的，一旦黑客滿意，我們就得到一個數(shù)據(jù)庫的鏈接，令人難以置信的是內(nèi)容經(jīng)壓縮之后還有大約10千兆字節(jié)，這需要我們多花幾個小時來下載它。”

雖是狼來了 電郵警報并未除

事件一經(jīng)媒體發(fā)布，涉事郵箱的用戶紛紛擔(dān)憂個人信息安全，不過經(jīng)調(diào)查后，事件有了反轉(zhuǎn)，2.7億用戶可以松口氣了。因為此事波及到的其中三大郵箱服務(wù)供應(yīng)商雅虎、谷歌和Mail.Ru回應(yīng)表示，絕大部分的被爆出的賬號和密碼并不匹配，所以用戶并不用擔(dān)心它們。

雅虎在一份聲明中說道：“我們的安全團隊已經(jīng)做了調(diào)查，我們不認(rèn)同相關(guān)媒體的此前的斷言，我們不認(rèn)為我們（雅虎郵箱）的用戶正面臨任何嚴(yán)重的危險。”

俄羅斯目前最流行的電子郵件服務(wù)Mail.Ru則披露得更具體，稱公司發(fā)現(xiàn)，在目前所謂的“泄漏賬號密碼”中，僅僅只有0.018%的密碼是與它們的郵箱賬號配套的。Mail.Ru的一位新聞發(fā)言人Madina Tayupova在一封回應(yīng)郵件中表示：“這些被泄漏出來的數(shù)據(jù)庫，看起來非常像是一些借由老式數(shù)據(jù)轉(zhuǎn)儲器所暫存的數(shù)據(jù)，匯編而成的。黑客通過入侵那些需要用戶去輸入他們郵箱賬號來登陸的網(wǎng)絡(luò)服務(wù)，收集到了這些信息?！?/p>

谷歌也發(fā)現(xiàn)，只有極小比例的賬號被波及到了?！霸诒慌冻龅泥]箱賬號信息中，超過98%的谷歌郵箱賬號證書被證實是假的。就像我們一貫的做法，我們對那些可能被影響到的用戶，提高了他們登陸安全保護的級別?！惫雀韫镜囊晃淮碓谝环萋暶髦羞@樣說道。

同樣的事情此前在谷歌身上就沒那么幸運了。2014年，就有近493萬谷歌郵箱用戶的賬號密碼被發(fā)布到俄羅斯的一個比特幣論壇上，而文本分析顯示這些郵箱賬號的文本語言多為英語、西班牙語和俄語。有分析人士指出，這份名單應(yīng)該是此前黑客攻擊泄露的密碼的集合，很大可能是用戶個人電腦被攻擊后丟失的數(shù)據(jù)。

今年4月，谷歌官方確認(rèn)最近有100萬的Gmail賬戶被政府黑客攻擊，他們已經(jīng)采取措施提升郵箱安全警示服務(wù)，保護用戶免受政府黑客和監(jiān)視活動的攻擊。

谷歌方面識別出這次攻擊是由政府贊助黑客發(fā)動，受害者身份通常為：積極分子、新聞記者、政策制定者等，他們會向這些受害者發(fā)出正被黑客攻擊的通知。

一直以來，谷歌都在提升其瀏覽器的安全功能，并對對郵件進行多種加密，以盡可能周全的安全措施來保護用戶免受外界的不良侵害。3月，來自于谷歌、雅虎、Comcast、微軟、LinkedIn和1&1 Mail 等高科技公司的工程師們已經(jīng)制訂了新的電子郵件加密提案，該提案已提交給互聯(lián)網(wǎng)工程任務(wù)組。

在這份提案中，工程師們設(shè)計了豐富的技術(shù)細(xì)節(jié)，來防止攻擊者冒充目標(biāo)服務(wù)器，或通過現(xiàn)有的各種攻擊方式在傳輸過程中破壞SSL，達到攔截或者修改電子郵件的目的。具體想法是當(dāng)一個電子郵件發(fā)送給一個支持SMTP STS的域的時候，發(fā)件人會自動檢查目標(biāo)服務(wù)器是否支持加密，以及證書是否合法有效，如果無效，郵件不會被發(fā)送出去，并且告訴用戶為什么郵件沒有被發(fā)送。

·被盜的數(shù)據(jù)還包括全球三大電子郵件供應(yīng)商谷歌、微軟和雅虎的數(shù)千萬個賬戶和密碼

·盡量選擇安全性較好的郵箱：比如Gm ail，雖然它屢次成為黑客攻擊目標(biāo)。

今年4月，谷歌官方確認(rèn)最近有100萬的Gm ail賬戶被政府黑客攻擊

郵箱不是保險箱 需謹(jǐn)慎處置

相信每個人都有幾個郵箱，每個郵箱都有些許不能說的秘密。那么，作為終端用戶，如何保障自身郵箱的安全性呢？業(yè)界專家給出如下建議：

不要設(shè)置簡單的數(shù)字和單詞密碼：Password 或者123456這種密碼是最容易被黑客破解。與其信任你的記憶，不如信任一個復(fù)雜組合密碼能提升的安全性。

不要“一個密碼走天下”：尤其是當(dāng)兩個可能造成重大損失的服務(wù)，采用獨立密碼能降低風(fēng)險。在這次郵箱大規(guī)模泄露事件中，安全公司Hold Security 透露，即使用戶的郵箱賬戶密碼已經(jīng)更改，但仍有可能被用于套取其他平臺的信息。

不要在郵箱里存密碼：如果記不住復(fù)雜密碼，紙和筆也比這樣安全得多。即使是密碼管理工具 LastPass 也曾泄密，活在這世界上總會有些風(fēng)險，但我們可以選風(fēng)險較小的那條路來走。

盡量選擇安全性較好的郵箱：比如 Gmail，雖然它屢次成為黑客攻擊目標(biāo)。當(dāng)然還有以保障用戶安全為主要目的的ProtonMail 。

為郵箱設(shè)置二次驗證：在登錄郵箱時，需要接收第二道手機發(fā)送的驗證碼才能成功登錄。當(dāng)郵箱服務(wù)商出現(xiàn)漏洞時，黑客也無法通過獲取的賬戶信息進入郵箱。對于手機或者電腦上的郵箱客戶端，還可以單獨設(shè)置授權(quán)密碼來加強郵箱安全性。

為隱私文件設(shè)置安全鎖：當(dāng)需要存檔某些較為隱私的信息時，可以將重要的郵件分揀到自定義文件夾，給自定義文件夾設(shè)置密碼。一般在郵箱的設(shè)置功能里可以設(shè)置安全鎖及其范圍。即使黑客侵入了你的郵箱，安全鎖也會為你的內(nèi)容安全提供最后一道屏障。