咬人的疯狗

数日前，我的QQ邮箱在短短2小时中不断收到多达2000多垃圾邮件，这些多是以Discuz论坛为主的各类网站的注册确认邮件。这甚至超过我从2008年底启用此邮箱后收到的、除已被删除的邮件数量总和。从发送速度来看一定是软件所为，其原理与"短信轰炸机^*1"如出一辙。

我敢肯定近2年多以来我没在网络上结识仇人。换言之，我不认识任何知晓我的E-mail地址且有动机对我进行『邮件轰炸』的人。

而这次事件持续时间很长，长达12小时，看来并不像恶作剧^*2。于是我倒回刚开始收到垃圾邮件的时间点，果不其然发现了一封由126邮箱发来的电邮，内容是一人的身份证正反面照片。

我没有任何理由收到这样的邮件，加之我的QQ邮箱是<一串数字>@qq.com，因此对方很有可能是输错了数字导致这封邮件被发至我的邮箱。而他对我『邮件轰炸』的目的，大概是为了"淹没"这封由于他的失误或会导致泄露他人个人信息的邮件，或者令这封邮件和那些垃圾邮件一并被我删除。

我向此人发送邮件说明我并未保存这两张图片，并已将其删除，希望其停止当前行为。但是他给我的回复如下:

你怎么证明你没留存?!!!
如你不能证明我不会停止!!!

每句话后面的三个叹号足以看出此人气急败坏。而他对我的要求，就像"证明你妈是你妈"一样，是一个不可能证明的问题——即便我把我邮箱的登陆凭据给他，让他亲自看，他还可以诡辩——我把照片保存到我的计算机了……

他的邮件地址无法提供任何有效线索——也是一串数字，但既不是手机号码，也不是QQ号(至少不是主显帐号)。根据这封误发送的邮件内容，我猜测他服务于某个需要用户实名认证的企业，身份证上的人很可能是其客户，同时也是这家企业没做好信息安全工作的受害者。

两天过去，垃圾邮件不再涌入，看来暂时平息了……

事实上我也是一个没有任何过失的、无辜的受害者——如果我有过失，那也只能是使用了一个容易被"误输入"的邮件用户名……因此我将此事件形容为『疯狗咬人』。

总而言之，这个企业有许多不足，直接或间接导致了这场风波:

1. 用电子邮箱传输敏感数据，且发送前不反复确认收件人地址
2. 使用的电子邮箱没有『撤回邮件』功能^*3
3. 敏感信息通过互联网传输时没有加密——如果他用GPG加密了邮件，即便误发送也无虞
4. 使用安全性能^*4和使用体验^*5极差的网易邮箱

而对于该企业的客户，也有如下不足

• 没有在身份证照片上添加水印以减少以外泄露带来的隐患

^ *1.收集许多需要用手机号/邮箱注册的网站，模拟其注册时发送的POST包来让某个手机号/邮箱收到大量垃圾短信/垃圾邮件的软件，常被无良电商用作报复填写差评的用户.
^ *2.曾有报道因个人信息泄露，有人手机"被DDoS"——不断接到响一声来电使正常电话打不进来，后此人被勒索数百元赎金才可停止这种行为.
^ *3.许多邮箱，包括我使用的Gmail和QQ邮箱，都可以撤回已发送但对方未读的电邮.可以说的上是邮箱的标配功能.
^ *4.网易邮箱发送的邮件底部包含不可去除的广告，常被收件人的邮箱系统归档至垃圾邮件.
^ *5.网易邮箱宣称使用SSL确保信息安全，但仅是POST登陆凭据的URL使用了https，而登录页面为http.这种情况下攻击者只要在页面中插入一个恶意JavaScript便可获取用户名和明文密码.且网易邮箱并没有使用SSL或S/MIME来确保邮件在传输过程中安全.