早上收到一条来自10658139的短信,139邮箱在8:21被从手机端登录,收到短信通知之后,看了下这个号码之前的短信记录,在确认这个号码确实是139邮箱的服务号码后,马上回复锁定了该邮箱。
锁定以后,电脑端和手机端通过密码登录均会提示处于锁定状态,需要使用短信验证码登录,pop和imap协议也同时被锁定。重新修改密码或发送解锁指令可解锁邮箱,但解锁操作均需要手机端参与。
为什么会被盗号?
经过搜索,在10086社区的防骗预警提醒中,有一条“139邮箱”被盗用的提示。其中明确了被盗号的主要目的,即用于发送垃圾短信。
为什么邮箱会有短信群发功能?
去139邮箱官网看了下,短信群发是139邮箱的一个特色功能,支持批量导入联系人,一次大量群发。
以下内容摘自官网帮助页
什么是邮箱发短信?
发短信是139邮箱的特色功能,您可通过电脑登录到139邮箱向全国移动、联通、电信号码发送短信,免去手机键盘输入之苦。点击邮箱左侧导航栏特色应用中的“短信”按钮,即可进入“发短信”界面体验。
为保障客户信息安全,发送短信时采用哪些安全机制?
为保障信息安全,发送短信时采用以下安全机制:
1)139邮箱客户2分钟内发送5次短信以上,则系统提示要求输入“图标验证”码。
2)客户1分钟内,输错6次图片验证码,则禁止客户通过邮箱发送自写短信,30分钟后系统自动解禁。
3)单个IP地址1分钟内,输错50次图片验证码,则禁止客户通过邮箱发送自写短信,30分钟后系统自动解禁。
4)客户发送自写短信超过15次/分或30次/30分(群发短信算作一次),系统会限制自写短信发送功能,限制时间为60分钟。邮箱发短信如何收费?
139邮箱“发短信”功能无需单独订购,免功能费。每次限发350字符,每条短信70字符以内按条计费;超出70字符,按67字符一条计费,比如每次发送350字符,按6条计费。
关于登录界面
访问139邮箱的登录链接后,默认为未加密连接
强制使用https访问后,依旧显示有部分网页元素为非加密连接
而139企业邮箱则没有这个问题
总结
- 139邮箱登录界面默认没有使用https加密连接,在公网登录存在密码泄漏风险
- 发送短信功能默认开启,且缺少手机端通知渠道,单方面ban短信功能30至60分钟并没有什么实际效果
- 可以通过pop协议发送指令至dx@139.com群发短信,有助于实现垃圾短信自动化发送
根据以上原因,139邮箱存在严重安全问题,不建议使用,如果已注册,建议锁定邮箱帐号。
There are no comments yet