【第二视角】网易邮箱深陷罗生门？他们争辩的拖库、撞库，你知道是什么吗？

这几天安全业界最大的新闻就是“网易163/126电子邮箱过亿数据泄漏”了。

从乌云言之凿凿的报告和网友的如潮控诉来看，网易邮箱信息泄露，似乎已经被坐实。

然而，对于数据泄露的方式，网易和乌云存在着一定的分歧。

网易方面表示，这是由于部分用户在其他网站使用了和网易邮箱相同的账号密码，其他网站的账号信息泄露，被不法分子利用，侥幸尝试登陆网易邮箱造成。并坚称，网易电子邮箱系统安全，不存在安全漏洞。目前网上所泄漏出来的数据是由于其他网站账号信息泄漏导致的撞库，网易躺枪而已。

乌云方面认为，其所公布的漏洞将导致网易163/126电子邮箱过亿数据泄漏。也就是说网易电子邮箱数据很可能被拖库。

不难看出，网易坚持认为自己的安全防护不存在问题，而乌云提交的这个漏洞，恰恰证明了网易的安全存在问题。

二者的分歧在于，网易认为此次事件是撞库，而乌云质疑，此次事件是“疑似拖库”。

那么，问题来了，网易邮箱和乌云一直在争论的拖库和撞库究竟是什么呢？

它能给用户带来哪些危害?

用户应该怎样保护自己的隐私呢？

撞库是一个看起来很专业，但理解起来很简单的名词。

它其实就是黑客无聊的“恶作剧”。黑客首先会通过收集互联网已泄露的用户+密码信息，生成对应的字典表，然后再用字典中罗列的用户和密码，尝试批量登陆其他网站，这样，一旦用户为了省事，在多个网站设置了同样的用户名和密码的话，黑客很容易就会通过字典中已有的信息，登录到这些网站，从而获得用户的相关信息，如：手机号码、身份证号码、家庭住址，支付宝及网银信息等。这些信息泄露后，不仅会给用户和经济带来巨大损失，也会给相关网站带来负面影响。

和撞库一样，拖库也是一个黑客术语，它指的是黑客入侵有价值的网站，把注册用户的资料数据库全部盗走的行为，因为谐音，所以也常被称作“脱裤”，比如小米用户信息大量泄露事件，就是拖库行为的一个典型案例。

在该事件中，小米用户名和密码大量泄露，黑客反过利用这些用户名和密码，登录小米服务器，获得了极其详细的用户资料，其中包括用户的手机号、邮箱甚至通讯录等。

一般来说，在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链，将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。

从网易邮箱方面目前所公布的信息来看，拖库、撞库皆有可能。但有一点可以肯定，有部分网易邮箱的账号密码确实被黑产弄到手了。

这正如安全圈子里的那句话“百分之九十的企业曾被攻击过，剩下的百分之十不知情”。经过此次事件，应该让更多的网站紧张起来，除了考虑自家的库什么时候可能会被拖，也应进行一次安全排查。

正是由于许多问题并不是技术性问题，而是由人的行为导致，这就更加难以解决。一旦出了问题，普通人泄露一条账号密码也许只是个人经济损失或信息泄露，而网站的运维、管理人员泄露密码则可能导致整个公司、企业或者高校陷入信任危机，蒙受巨大的经济损失。因此网站须时刻准备好与黑客的攻防，而不是等问题出现后再去公关处理，出现“信息安全做不好，公关费用花不少”的情况。

对于普通用户来说，定期更换密码总是好事儿。所以，还是马上更换您的电子邮箱密码吧，如果您使用了网易的电子邮箱，换个密码至少能求个心安。

作为中国千万网民中的一个，你可能觉得，我不用网银，打游戏不充钱，我没有什么被黑的价值，所以黑客是不会来光顾我的。其实不然，每一个使用互联网服务的用户，在享受快捷方便的时候，都把自己暴漏在了风险之下。不是黑客会不会值得黑你，而是你有没有可能被波及。