邮件托管服务商Cock[.]li近日发布官方声明，确认遭遇重大安全事件，导致超过100万用户的个人信息外泄。此次攻击主要针对该平台的Roundcube网页邮件系统，影响范围涵盖自2016年以来登录过网页邮箱的约1,023,800名用户。

攻击者成功窃取两个关键数据库表，其中包含敏感用户信息，具体包括：电子邮件地址、网页邮箱登录时间戳、失败登录尝试记录、语言偏好设置，以及序列化的用户配置（含签名档和个人设置）。另有约10,400名用户的93,000条联系人信息遭泄露，涉及姓名、电子邮箱、vCard电子名片及备注内容。

核心数据未受影响

尽管泄露规模庞大，但Cock[.]li官方强调，用户密码、实际邮件内容及IP地址并未被窃取。公司解释称，密码存储在独立的"sessions"数据表中，该表未包含在此次泄露数据中。

事件响应措施

发现入侵后，Cock[.]li立即停用了Roundcube网页邮件服务，并强烈建议2016年至今使用过该服务的所有用户尽快更改密码作为预防措施。据称失窃数据库正在暗网以"高价"出售。值得注意的是，该公司采取非常规做法，主动向Have I Been Pwned（HIBP）数据泄露查询平台提供用户名清单，以帮助用户确认自身信息是否遭泄露。

漏洞根源分析

Cock[.]li将此次事件归因于CVE-2021-44026漏洞——这是一个影响Roundcube 1.4.121之前版本的潜在SQL注入漏洞。公司承认虽已"很早之前"完成软件更新，但攻击者可能长期持有窃取的数据。具有讽刺意味的是，公告披露近期曝出的远程代码执行漏洞CVE-2025-49113因Cock.li系统采用Roundcube已终止支持的版本分支而无法被利用。

服务调整与反思

该事件促使Cock[.]li决定永久移除Roundcube服务。虽然公司表示"正在考虑"替代网页邮件方案，但明确表示这并非当前优先事项，建议用户改用专业邮件客户端。Cock[.]li发布正式致歉声明，称此次事件"违背了公司一贯谨慎的安全理念和架构"，这起事件再次提醒邮件服务提供商面临的持续网络安全挑战，以及采取强有力安全措施保护用户数据的重要性。