V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
realpg
V2EX  ›  信息安全

黄易邮箱泄露来源并不是网易。

  •  
  •   realpg · 2016-04-05 09:40:43 +08:00 · 8839 次点击
    这是一个创建于 3160 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚下载完 300G 数据库,由于本人注册网站采用结合域名的密码方式,其中有一个我们注册论坛公用账号的专用邮箱(网易) 发现同一个邮箱出现 N 次,密码各不相同,因为我的密码是 xxxxxx+网站域名前两位的形式,所以出现了 N 种不同的密码。 包括但不仅限 CSDN ,中国联通 你们看错,中国联通,但是我怀疑是中国联通的某分支站,因为我主站的登陆应该是手机号+服务密码的 其他都是一些中型论坛

    65 条回复    2016-04-07 12:32:51 +08:00
    kier
        1
    kier  
       2016-04-05 09:42:16 +08:00
    so,是撞库出来的?
    knightdf
        2
    knightdf  
       2016-04-05 09:46:49 +08:00
    你在想我?
    odirus
        3
    odirus  
       2016-04-05 09:47:54 +08:00
    @knightdf 哈哈哈哈哈
    realpg
        4
    realpg  
    OP
       2016-04-05 09:52:06 +08:00
    @knightdf 基情四射啊 6
    Lullaby
        5
    Lullaby  
       2016-04-05 09:55:08 +08:00
    @knightdf 在一啊 666
    joye1230
        6
    joye1230  
       2016-04-05 09:55:35 +08:00
    黄易官方也是这么说的,嗯
    bhqt
        7
    bhqt  
       2016-04-05 10:02:00 +08:00
    所以我注册账号从来不用国内邮箱,还是 gmail 实在,需要翻墙我也认了
    yeyeye
        8
    yeyeye  
       2016-04-05 11:05:55 +08:00
    @realpg
    @kier
    @knightdf
    @odirus
    @Lullaby
    @joye1230
    @bhqt

    我常用的大号,以及根本不注册账号用的小号,公布的库里面都有密码,由此可以分析出,确实是网易自己的问题。

    大号你可以说撞库,小号你连用户名都不可能猜到,又拿什么来撞库呢?我小号又不在其他网站注册账号的。
    lichao
        9
    lichao  
       2016-04-05 11:13:10 +08:00
    @joye1230 官方的说法在哪里,贴地址
    sephinh
        10
    sephinh  
       2016-04-05 11:21:05 +08:00
    查了一下,还是以前的密码
    nowcoder
        11
    nowcoder  
       2016-04-05 11:22:46 +08:00
    不是 52g 么,,怎么 300g 了
    Ellison
        12
    Ellison  
       2016-04-05 11:39:17 +08:00
    查了下,万年老密码,不用管了...
    green15
        13
    green15  
       2016-04-05 11:43:46 +08:00
    某个数字+字母+特殊字符的足够长度的密码;对应邮箱只在网易出现过……呵呵
    knightdf
        14
    knightdf  
       2016-04-05 11:46:41 +08:00
    @yeyeye 这个确实是网易自己泄露的,我 2 个号,一个专用来注册杂七杂八,一个只用来个人邮件,和 iCloud ,结果 2 个都能查到密码
    lichao
        15
    lichao  
       2016-04-05 11:48:02 +08:00
    去年的和今年的,好像 yeah.net 的都幸免遇难?
    mcone
        16
    mcone  
       2016-04-05 12:03:02 +08:00
    @realpg 你下载的 300GB 应该是黑产洗过 N 遍的大礼包,顺便附带了一些不是网易这次泄露的数据来充充数罢了

    很巧,我也用了一套类似的密码规则,还用的比较早,我在一个 52G 的黑客大礼包中,发现了我年幼无知时手工注册的一堆网易小号,我确定这批邮箱我没有注册过别的服务(有一些账户密码对应关系,我甚至自己都忘记了……),从密码也能看出来确实是我手工注册的那批无误

    楼主的帖子有种官方强行洗地的感觉,建议楼主 append 说明下
    Rorysky
        17
    Rorysky  
       2016-04-05 12:12:12 +08:00
    @lichao 是呀是呀,为什么呢?不都网易的么?一直用 yeah.net 邮箱。。。
    iVeego
        18
    iVeego  
       2016-04-05 12:23:40 +08:00 via Android
    我问下,有在线查询密码是否泄漏的网站吗?
    abelyao
        19
    abelyao  
       2016-04-05 12:38:24 +08:00 via iPhone   ❤️ 5
    @iVeego https://163password.download
    VYSE
        20
    VYSE  
       2016-04-05 12:43:43 +08:00 via Android
    里面找到一堆我自己胡乱编的注册论坛的邮箱,密码是论坛的
    hjq98765
        21
    hjq98765  
       2016-04-05 12:58:09 +08:00
    @abelyao 这个输入邮箱之后出来的并不是我的密码

    有的会出现乱码,这是怎么回事
    iVeego
        22
    iVeego  
       2016-04-05 13:12:44 +08:00
    @abelyao 提示非安全连接,同时乱码。你是站长吗?
    Andy1999
        23
    Andy1999  
       2016-04-05 13:13:49 +08:00 via iPhone
    全是水分 整理后 400M
    abelyao
        24
    abelyao  
       2016-04-05 13:22:30 +08:00 via iPhone
    @iVeego 不是我的, V2 上别人发的
    Note
        25
    Note  
       2016-04-05 13:49:29 +08:00
    @Andy1999 可不可以发一份 [email protected]
    yxc
        26
    yxc  
       2016-04-05 13:57:05 +08:00 via iPhone
    绝对是 163 泄露,我的 163 密码是专用的。查了下我的刚好中了
    Gamon
        27
    Gamon  
       2016-04-05 14:11:29 +08:00
    @Andy1999 能否发送一份,万分感谢! 5680238#qq.com
    d5d
        28
    d5d  
       2016-04-05 15:09:23 +08:00
    我中奖了。
    Accldent
        29
    Accldent  
       2016-04-05 15:33:40 +08:00
    百分百黄易自己的数据库被拖了,用的密码是我黄易专用的
    seashell
        30
    seashell  
       2016-04-05 15:41:43 +08:00   ❤️ 1
    @iVeego 用 IE 显示乱码,查看网页源文件
    meppy
        31
    meppy  
       2016-04-05 16:26:58 +08:00
    @Andy1999 求共享,谢谢! [email protected]
    zwpaper
        32
    zwpaper  
       2016-04-05 16:47:02 +08:00   ❤️ 2
    @iVeego 乱码是编码的事,乱码其实就是没事,有的话是返回账号和密码的
    winterbells
        33
    winterbells  
       2016-04-05 16:49:50 +08:00
    没有我的,小号也没有
    kn007
        34
    kn007  
       2016-04-05 16:50:29 +08:00
    我中奖了。。。在那 52G
    kn007
        35
    kn007  
       2016-04-05 16:50:52 +08:00
    而且那个密码,只有网易上用,别的地方都没用过。。。
    kn007
        36
    kn007  
       2016-04-05 16:51:54 +08:00
    我觉得密码应该是利用 search 所有存在 internet 的帐号,然后利用这些帐号清单去获取密码。。。。。类似这种。
    salary123
        37
    salary123  
       2016-04-05 17:53:11 +08:00
    旧库来的。邮箱上的密码都是曾经用过的。完剩的东西。。
    salary123
        38
    salary123  
       2016-04-05 17:56:50 +08:00
    @lichao 习惯性问题。后缀没 163 那些数字顺口,顺手。用的人少吧。。试问难道不是 163 最顺手吗。。一堆 163 邮箱。。
    pljhonglu
        39
    pljhonglu  
       2016-04-05 18:01:38 +08:00
    这应该是黑产洗过 N 次之后的产物了~
    lanbing
        40
    lanbing  
       2016-04-05 18:03:48 +08:00
    刚刚冒死注册了一个 163 的邮箱,好害怕。
    hljjhb
        41
    hljjhb  
       2016-04-05 18:06:47 +08:00
    07 年注册的小号密码在库里,没在其他地方用过,你说网易没出问题谁信?

    但是奇怪的是最早的一个号,简单密码,似乎没什么事
    hellokt
        42
    hellokt  
       2016-04-05 18:12:03 +08:00
    我十来个邮箱,只一个密码我能确认是我自己设的,但应该是很久很久以前的,至少不是最近 2 年内修改的密码
    还有一个我不确定是不是我自己的设置的正确密码(看着有点像,但完全没印象),与当前的不一样
    其他的都没密码
    所以,感觉问题不大,应该是很久以前的旧库
    mhjyzs
        43
    mhjyzs  
       2016-04-05 18:29:34 +08:00 via Android
    哎,真的看来只能用 gmail 了
    irainsoft
        44
    irainsoft  
       2016-04-05 19:13:01 +08:00
    我也觉得并不是邮箱这里泄漏的 我查了下我的两个邮箱都是过去常用的超简单密码 只在注册邮箱的头一年和其它小网站用过 其它地方并没有用过
    所以感觉是其它网站被脱裤拿来撞的 或者说是至少 10 年前网易被脱过
    Bomok
        45
    Bomok  
       2016-04-05 20:07:45 +08:00
    在线查了下,那个密码随便一个社工库都有……
    pimin
        46
    pimin  
       2016-04-05 20:09:17 +08:00
    我不知道是不是黄易泄的,
    反正我 2 个 163 账号还是安全的。。
    tuuuz
        47
    tuuuz  
       2016-04-05 20:09:48 +08:00
    12 年注册的一个网易账号,从没在其他网站注册过

    最近在异地被修改密码

    密码手机发信息才知道的,账号我自己都不记得了
    binux
        48
    binux  
       2016-04-05 20:21:50 +08:00
    反正我的邮箱未找到
    反正我开了两步验证
    gkiwi
        49
    gkiwi  
       2016-04-05 20:23:25 +08:00
    应该是网易自己的口,我的也跪了,不过是之前的密码:)
    GhostFlying
        50
    GhostFlying  
       2016-04-05 20:41:46 +08:00 via Android
    我的两个未找到,均为弃用已久的邮箱
    ys0290
        51
    ys0290  
       2016-04-05 20:50:08 +08:00 via iPhone
    我的仨邮箱都没找到
    zjqzxc
        52
    zjqzxc  
       2016-04-05 20:59:39 +08:00
    有一个邮箱在 csdn 事件后被泄露,密码还是那个之前的;
    有一个邮箱是在 csdn 事件后注册的,而且密码只用于邮箱。
    csdn 出事后邮箱密码和其他密码已经严格分开了。。
    所以这个锅还得黄易背着
    sghsgh
        53
    sghsgh  
       2016-04-05 22:42:13 +08:00
    刚刚试了一下,密码不知道是多少年前的密码了;想找回 126 的邮箱密码,没成功,去年注册的
    princeofwales
        54
    princeofwales  
       2016-04-05 22:42:32 +08:00
    我 LP 只有一个邮箱,就是 163 的
    也很少用邮箱注册各种服务,就是那种可以几个月不用电脑,一年不收邮件的人
    昨晚帮她查了下,密码也泄露了
    说密码不是来自网易,我不相信
    mobeiyibei
        55
    mobeiyibei  
       2016-04-05 23:30:54 +08:00
    有 300G ????求下载地址
    RockShake
        56
    RockShake  
       2016-04-06 08:59:13 +08:00
    中招了,但是密码不是网易邮箱的,是用网易邮箱注册论坛的
    xiaofami
        57
    xiaofami  
       2016-04-06 09:10:25 +08:00
    @lanbing 我 2015 年 9 月注册的网易 163 邮箱未在其列,流出的应该不是新数据。党政机关一般都用网易邮箱当工作邮箱用,查了一下有许多中枪~该不该通知他们呢
    florije
        58
    florije  
       2016-04-06 09:11:35 +08:00
    不是黄易泄的,特意其他小网站注册用某个简单密码,查了下,就是那个密码,不是邮箱密码。
    yidongnan
        59
    yidongnan  
       2016-04-06 09:13:31 +08:00
    分享下地址?
    lanbing
        60
    lanbing  
       2016-04-06 10:49:11 +08:00
    @xiaofami 不要惹事了。。。我也查了几个,但是没查到。
    xiaofami
        61
    xiaofami  
       2016-04-06 11:48:17 +08:00 via Android
    @lanbing 不是惹事~和许多部门有业务往来,合同,项目书等重要文件用网易邮箱传了不少,泄露出去影响不好。
    3dwelcome
        62
    3dwelcome  
       2016-04-06 11:55:48 +08:00 via Android
    @xiaofami 都洗过无数边了、在用的几年前就察觉了、不用的、也就是个无人问津的闲置邮箱。
    idcspy
        63
    idcspy  
       2016-04-06 15:51:16 +08:00
    @xiaofami 你真是年少无知啊,小心被跨省,关你屁事,别人躲还躲不及,你自己居然想去撞枪口。
    lanbing
        64
    lanbing  
       2016-04-06 16:11:23 +08:00
    @xiaofami 有些事情装没看见比较好。。。。你告诉他们反而会让他们难堪或者挂不住面子,其实有些信息没你想象中的那么重要。
    H4cK
        65
    H4cK  
       2016-04-07 12:32:51 +08:00
    mb 难道我易曾经明文存过密码?太 low 了吧。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2726 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 15:22 · PVG 23:22 · LAX 07:22 · JFK 10:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.