基本确认网易邮箱沦陷了，现在的问题是绑定的一堆服务怎么挽救？

卧槽, 早上刚在微博上看到网易邮箱辟谣的微博, 网易邮箱也太不靠谱了

几乎不用网易产品的路过。。

先改密码。支付宝可以换邮箱的。 Apple ID 该开的防护都开，银行卡解绑，换预付费充值方式。

密保也被破解了吗？我所有门户网站账号都是用的同一套密保

我 07 年就有网易邮箱的 300M 付费账号数据， MD5 加密的。当时 5000 块钱买的。那应该是最早的脱裤了，从来不用网易邮箱，最不安全。

当时 188 邮箱可以利用其它网易账号代付月费年费，就是网易点数，这个点数可以给游戏用， 1 小时 4 个。

也可以给网易其它收费项目用。

无图无真相，那我就贴图吧。当时我在淘宝卖过一段时间网易 163vip ， 188 邮箱年费，开通 40 年 100 块钱，比起官方省了 NN 倍。

http://img-storage.qiniudn.com/15-10-19/33842343.jpg
http://img-storage.qiniudn.com/15-10-19/85023161.jpg
http://img-storage.qiniudn.com/15-10-19/2816505.jpg


当时我怎么没想到利用邮箱干点别的呢，看来心太小了。

@shenqiu2015
至少要有最基本的密码分级制度，就是不重要的网站设置个 123456 让他去玩吧

这个网易邮箱的登入本来都是有问题的，说什么“ SSL 加密”，然没卵用！你就不能换成 HTTPS 加密吗？游戏赚了这么多钱，弄一个 HTTPS 加密有这么难吗！！！

怎么确定这路人甲发的不是假消息？

MD5 加密过的强密码还安全吗

@dianso 当时的 5000 也是一笔巨款了。真舍得花钱。

@c0878 MD5 早就不安全了，至少是 SHA256 的加密才是安全的！

@hanwujibaby 这是稳赚不赔的，我就是传说中的洗号者。账户里的剩余点数用来给别人充值邮箱。账户里的装备和游戏币被我洗劫一空，一般点数多的账号都是在玩大话西游 2 或者梦幻西游的。

我觉得更严重的不是泄露了密码的 MD5 ，而是泄露了密保问题和答案等信息，有了密保可以修改密码，可以尝试控制其他网站同一个人的账户。

@c0878 md5 不安全。网易好 low 啊，还在用 md5

用网易的邮箱大师登录的别的邮箱的密码会被泄露么

@dianso 现在不玩这个了吗？还是冲向互联网金融 p2p 了？

Yeah 居然没事？

@nvidiaAMD980X 网易邮箱的登录请求的确是 HTTPS 的。 HTTPS 底层就是 SSL/TLS 。
现在的登录页面的确可以被篡改以盗取用户信息，但是这么大的量，显然不是因为网易不上 HTTPS 导致的，而是被拖库了。

17 号 iPhone 被恶意抹去数据锁死，帐号主邮箱密码被改，其他 iPad, mac air 也被锁，敲诈 300 ，打了很多次苹果客服转接安全部门一直打不通，让提供发票包装盒 20 天内处理，无奈 19 号早上交了赎金，密码账号就发来了，目前已经转移其他非网易邮箱了，开启两步验证三天后生效

@kevinyoung
第二条我能确认
第三条把支付宝的邮箱切换到能使用强制两步验证登陆的 qq/outlook 比较省心

@c0878
看上去似乎网易的库没有盐
然后又用 md5
那么穷举 /彩虹表打它会很方便

@bertonzh
显然只有登陆信息交换使用 TLS ，而其它内容使用明文 HTTP 不是好做法