每經(jīng)編輯 每經(jīng)記者 趙娜 發(fā)自北京
每經(jīng)記者 趙娜 發(fā)自北京
昨日 (5月14日)�����,烏云漏洞報(bào)告平臺(tái)(以下簡(jiǎn)稱烏云)接連曝出兩個(gè)有關(guān)小米的漏洞�,稱漏洞類型均可能造成用戶資料大量泄露。目前���,小米官方確認(rèn)了上述漏洞�,并證實(shí)確有部分2012年8月前注冊(cè)的論壇賬號(hào)信息被非法獲取���。
昨日晚間���,《每日經(jīng)濟(jì)新聞》記者從接近小米的相關(guān)人士處獲悉,上述漏洞均是由于2012年8月以前小米的論壇及賬號(hào)體系使用第三方開源程序所致���。相關(guān)用戶信息都非明文密碼保存�����,均經(jīng)過(guò)了加密�����,破解難度較大�����。
烏云表示��,小米的用戶數(shù)據(jù)庫(kù)在網(wǎng)盤中流傳�����,雖一再封殺但已有人完成下載�。據(jù)漏洞報(bào)告者提供的內(nèi)容,泄露信息包括:用戶名����、密碼��、注冊(cè)郵箱��、IP及密碼鹽(Salt)等。
昨日上午�����,小米安全中心于小米論壇發(fā)布了《致小米社區(qū)用戶:小米社區(qū)賬號(hào)信息安全防范公告》的置頂貼����。小米證實(shí)確有部分2012年8月前注冊(cè)的論壇賬號(hào)信息被非法獲取,但稱這部分賬號(hào)信息此前進(jìn)行了嚴(yán)格加密(獨(dú)立Salt單向哈希值)��,且不少用戶近年已修改密碼��,實(shí)際可能存在風(fēng)險(xiǎn)的只有其中一小部分���。小米稱���,截至公告前,尚未發(fā)現(xiàn)可見的流量異動(dòng)以及投訴報(bào)告����。
記者留意到,在小米發(fā)出上述公告前后���,另一“小米科技某安全漏洞影響88W+360W數(shù)據(jù)”的漏洞于同日10:23被提交至烏云��,至昨日午間����,廠商回應(yīng)欄顯示為:“該漏洞之前在小米安全中心已經(jīng)提交過(guò),我們已經(jīng)處理完成���?�!?/p>
近期�����,用戶信息遭泄露的案例時(shí)有發(fā)生����。3月���,攜程旅行網(wǎng)被曝銀行卡支付環(huán)節(jié)的信息外泄����。此外��,在今年的3·15晚會(huì)上,二維碼支付的安全漏洞也遭曝光�。
盡管此次小米表示對(duì)于可能存在風(fēng)險(xiǎn)的小部分賬號(hào)會(huì)要求用戶立即修改密碼�,但僅是修改密碼顯然不足以讓用戶“定心”。
烏云稱��,小米賬號(hào)比較特殊����,如果賬號(hào)密碼被破解,可能影響到用戶的數(shù)據(jù)備份����,通信錄、短信����、照片甚至GPS位置等信息都會(huì)被波及。烏云認(rèn)為所有安全的核心都是數(shù)據(jù)��,既然移動(dòng)數(shù)據(jù)在云上�,移動(dòng)端的安全重點(diǎn)也會(huì)在云上。
