移動139郵箱被曝出漏洞
繼前段時間網易郵箱鬧出漏洞風波之後,最近,139郵箱也被曝存在洩密漏洞,而且這項漏洞可以讓別人以最高許可權完整瀏覽你的郵箱記錄。
近期,國內安全測試公司漏洞盒子發現,當手機開放熱點分享時,連線熱點的人可以隨意登入並操作熱點手機的移動郵箱和移動夢網。
如今為方便使用者,許多郵箱都提供免密登陸功能,139郵箱也一樣,只要成功登陸過,再次使用瀏覽器開啟http://mail.139.com頁面時,使用者的移動郵箱就會自動登入,而無需進行任何身份認證。
對於這一點,移動官網是這樣的介紹的:
也就是說,郵箱對登陸使用者的識別僅限於運營商網路和非運營商網路的差別,即當用戶處於非運營商網路下時,郵箱會對其進行身份驗證;而當用戶處於運營商網路下時,則不對使用者進行驗證,直接登入郵箱。
我們知道,手機熱點是將手機接收的GPRS、3G或4G訊號轉化為wifi訊號發出去的技術,其本質仍然是運營商網路。
那麼當B手機使用A手機的熱點來登入139郵箱時,郵箱是否會進行身份鑑別呢?
對此,漏洞檢測技術團隊專門做了一個軟體,結果果然可以直接讀取熱點手機的139郵箱資料。
除了郵箱外,移動夢網也可以直接登入,無需任何驗證。
這種漏洞可能導致以下洩密情況的發生。
熟人間偷窺郵件:只要騙你開啟熱點,別人就可以在自己手機上看完你的郵件記錄,而你根本發現不了。
針對郵箱漏洞發起攻擊,是幾乎每個黑客都想完成或者正在努力實現的目標,沒有一款軟體是絕對完美的。雅虎郵箱曾擁有世界上最大的使用者群體,然而從去年起,雅虎就不斷曝出洩密事件,最終靠實的洩密使用者竟然達到30億之多,這意味著沒有一個使用者能逃出這場洩露案。
雅虎本身的作為是一方面,另一方面,郵箱作為一款軟體產品,本身就具備明文儲存、以及潛在的漏洞等各種風險,本質上就不是一個絕對安全的存在,理論上,市面上任何一款郵箱都存在被攻擊的可能,
谷歌旗下Gmail的使用者月活超過10億,作為使用者群體最廣泛的口碑郵箱,郵件安全問題也同樣困擾著Gmail的安全團隊。谷歌安全團隊創始人亞德金絲(Heather Adkins)就曾說,永遠別將個人資訊寫進電子郵件,因為黑客無處不在。
郵箱漏洞這麼多,但作為常用溝通工具,企業顯然離不了郵箱,難道就沒有辦法解決郵箱的安全問題嗎?
其實不只是郵箱,任何一款軟體都無法堅稱自己絕對沒有漏洞,即便目前未檢出,隨著技術的發展,也依然可能被攻破。對於郵箱使用者而言,期待一款郵箱能解決所有安全問題是不現實的,最好的辦法是:規避漏洞風險,確保郵件資料安全。
只要郵件資料足夠安全,郵箱是否有漏洞就不重要了。
這個是否能實現呢?
其實規避漏洞風險並不難,作為使用者,只要確保自己的郵件資料不受侵害就足夠,而保證郵件資料不受侵害的最可靠辦法就是——對郵件進行加密處理。
文章來源於商務密郵 郵件安全中心