支付宝、网易频现漏洞，否认信息泄露被打脸

文/蓝鲸TMT 刘敏娟

自互联网诞生以来，互联网安全问题便是个老生常谈的话题，或许大众已经习以为常，亦或许是多数用户并没有因此遭受巨大的实质性损失，很长时间以来，这一问题并没有得到大众的普遍重视。

而本月支付宝、网易接二连三的发生漏洞事件，掀起了市场对互联网安全问题的热议高潮。不禁让人怀疑，这可能是互联网行业的黑色10月。  

支付宝频现异地登录及认证漏洞

支付宝作为传统金融行业的颠覆者，发展至今已受到数亿用户的追捧，但频繁出现的技术漏洞已成为支付宝发展道路上的绊脚石。

漏洞报告平台乌云网的统计数据显示，2015年1~9月，支付宝系统出现的漏洞共有12个，平均每个月就有1.3个漏洞出现。而到了10月，支付宝依旧漏洞频发，连续出现不断异地登录和实名认证漏洞的问题，危及用户资金安全。

虽然支付宝立即予以回应，甚至承诺如账户被盗产生了资金损失，支付宝所合作的保险公司将对用户进行最高100万的赔付。但集中出现的信息安全问题已经引起了用户恐慌情绪的蔓延，用户普遍不满阿里巴巴对此事的处理方式，抱怨声依旧不断。

为了安抚用户情绪，阿里在追加的一份回应中称，支付宝将增加关联认证成功的通知提醒，并对可能存在异常关联认证情况的账户做了释放处理。

网易否认信息泄露反被乌云打脸

网易作为国内知名的免费邮箱供应商，其市场占有率始终高居全国首位，然而，近期也有麻烦上身。先是被曝数据泄露，官方出面否认之后又被乌云打脸，信息漏洞又被曝出；虽事后网易再次站出来澄清，但对于其安全性的疑虑依旧如乌云盘旋在用户心头。截至19日收盘，网易股价跌1.14%至138.18美元/股。

事情的经过是这样的：10月中旬起，关于网易邮箱遭暴力“破解”的消息不胫而走，迅速引起业内广泛关注。消息称，绑定网易邮箱的相关微博、支付宝、百度云盘、游戏等账号均遭到泄露，还有iPhone手机用户表示，自己使用网易邮箱绑定AppleID的手机不仅被锁，甚至被远程擦除数据。

18日下午，网易发布微博直指“网易邮箱部分数据泄露”的说法为谣言，经网易邮箱团队排查，与网易无关，上述现象应系“撞库”所致。所谓“撞库”，是指黑客通过收集互联网上已经泄露的用户和密码信息，生成对应的字典表，批量尝试登陆其他网站后，获取一系列可以登录的用户权限。

而19日下午4点，漏洞报告平台乌云网的白帽子“路人甲”（匿名漏洞报告者）提交了一份报告，称“网易163/126邮箱过亿数据泄露（涉及邮箱账号/密码/用户密保等）。其中密码密保均为MD5存储，解开后测试大部分邮箱依旧还可登录”，并将其危害等级定义为“高”。

这边刚发布澄清公告，否认信息泄露一说，转头就被乌云打脸，网易怎能忍气吞声？对此，网易官方于19日傍晚再发微博强调其安全等级，否认数据泄露，与前一天的声明内容基本一致。

此后，乌云网的漏洞报告中“网易邮箱”改为了“某邮箱”，而此让步之举被部分网友解读为“被网易公关”。不论网易辟谣的真与假，毋庸置疑的是，这整个事件对网易和用户都已经产生了不小的影响，网友们在微博里对网易邮箱的吐槽和抱怨依旧不减。

乌云为用户提自保方法

支付宝、网易邮箱接二连三的漏洞事件，使互联网安全问题再受重视。实际上，漏洞与互联网如影随形，世界上不存在完美到极致、没有任何问题的程序。当人们因万物互联而享受更便捷的生活服务时，也难免受数据泄漏等安全问题的影响。

有网友提出，像支付宝、网易这种市场份额占比较高的应用或者网站受到攻击时，一旦出现数据泄露等问题，将很容易对用户或者厂商造成无法估量的损失。作为用户来说，应该更关注信息安全，而厂商也需将信息安全提升到战略地位。

所幸的是，与今年5月携程网全面瘫痪损失上千万相比，本次支付宝和网易连续发生的漏洞事件暂时尚未造成大规模的损失。截至目前，网易方面暂时还没有为受漏洞事件影响的的用户提供切实可操作的解决方案。

不过，乌云网为用户提供了一个自保方法，提醒网友可登录reg.163.com用户中心，在风险提示处查询近一个月的异常登录记录，以及异地登录提醒邮件。如有异常，需尽快修改密码。使用网易邮箱绑定淘宝、支付宝、苹果iCloud和QQ等账号用户，需马上解除绑定关系。