阿里巴巴安全部回复万茜点赞事件：把锅给了盗号者和程序猿

IT之家 9 月 8 日消息 9 月 6 日晚，万茜知乎账号点赞了郁可唯和宁静的恶评，引起网友热议。IT之家了解到，该恶评称，郁可唯和宁静两个人都挺烦的，宁静是黑洞，能让身边的王者不敢发光，只想自己发光。

随后万茜解释称被盗号，并向波及到的姐姐们表示歉意。

对此，阿里巴巴安全部 @知安局 在知乎回答如何看待此事时表示，万茜通过盗号声明，把锅安排给了盗号者和知乎的程序猿。只要平台没有明显的漏洞，盗号的概率是非常低的，查询登录日志就可以快速判断是否被盗。

阿里巴巴安全部称，一个账号的核心安全属性主要是两个，即登录设备和 IP 地址。经常登录的设备和 IP，一般会被平台默认为可信设备及地址。因此，判断一个账号是否被盗，只需要看这个账号在自己未知情况下，是否在非可信设备和 IP 地址下登录了。这个可以快速的从后台的账号登录日志里查询到。

那不法分子一般是怎么盗号的呢？主要有两种方式：

第一种是通过无差别撞库的形式，去盗取用户的账号和密码。这种方式的特点是目标不明确，通常是批量性地去撞库一批账号，然后找到其中可用来盈利的账号。

第二种是不法分子通过诈骗的方式诱导用户登录在他们提供的设备上或骗取用户的账号密码及短信验证码。比如，有些不法分子声称扫码可领红包，对于安全意识比较低的人群而言，扫码确认的时候，就已经在不法分子手里的设备上登录了。

对于这些账号攻击行为，互联网平台都会设置安全防护措施。比如，针对第一种撞库行为，平台可以通过设置风控模型，把绝大部分可疑的流量挡在平台外面，这种情况可疑筛选掉大部分的恶意账号攻击行为。对于第二种，大部分互联网公司都会在业务策略层面实行 “非可信验证”。

阿里巴巴安全部还提供了一些小tips，教大家如何保证自己的账号安全：

账号密码的复杂度尽量高一些，不要设置弱口令，最近凉山州中考志愿填报系统被学生攻破就是教训；

不要在不常见的网站上登录自己的微信、微博及支付宝等账号，否则很有可能被这些网站采集到账密；

不同平台的账号，不要使用同一个或相近密码，否则被撞库的可能性很大；

手机短信验证码不要透露给其他人，尤其是陌生人；

不要把账号借给不熟悉的人使用。

阿里巴巴方面认为万茜账号被盗，跟自家的平台没什么关系，而可能是万茜的163邮箱账号被盗了。

对此，网易邮箱于9月8日深夜做出了回应，网易邮箱方面表示，截至目前还没有接到万茜方面来确认和处理邮箱账号泄露事宜的消息，已在积极联系万茜团队。如查属实，会协助万茜团队重置邮箱的密码，并在如何设置高安全性的密码等方面提供全力的支持，以保护其信息安全。同时，对于网友们提醒的“锅传锅”现象，也正在积极与知乎方面联系核实。

网易邮箱强调，始终珍视用户的账号安全和信息安全，每年投入高额的经费研发各类安全防御系统，今后还将持续加大在信息安全保护的投入力度，大家可以放心使用。