烏云漏洞報告平臺(以下簡(jiǎn)稱(chēng)烏云)接連曝出兩個(gè)有關(guān)小米的漏洞����,稱(chēng)漏洞類(lèi)型均可能造成用戶(hù)資料大量泄露���。目前����,小米官方確認了上述漏洞���,并證實(shí)確有部分2012年8月前注冊的論壇賬號信息被非法獲取��。
昨日晚間�,記者從接近小米的相關(guān)人士處獲悉���,上述漏洞均是由于2012年8月以前小米的論壇及賬號體系使用第三方開(kāi)源程序所致����。相關(guān)用戶(hù)信息都非明文密碼保存���,均經(jīng)過(guò)了加密���,破解難度較大����。
烏云表示���,小米的用戶(hù)數據庫在網(wǎng)盤(pán)中流傳�,雖一再封殺但已有人完成下載��。據漏洞報告者提供的內容��,泄露信息包括:用戶(hù)名����、密碼���、注冊郵箱��、IP及密碼鹽(Salt)等���。
昨日上午��,小米安全中心于小米論壇發(fā)布了《致小米社區用戶(hù):小米社區賬號信息安全防范公告》的置頂貼�。小米證實(shí)確有部分2012年8月前注冊的論壇賬號信息被非法獲取����,但稱(chēng)這部分賬號信息此前進(jìn)行了嚴格加密(獨立Salt單向哈希值)��,且不少用戶(hù)近年已修改密碼�,實(shí)際可能存在風(fēng)險的只有其中一小部分����。小米稱(chēng)�,截至公告前��,尚未發(fā)現可見(jiàn)的流量異動(dòng)以及投訴報告�����。
記者留意到�,在小米發(fā)出上述公告前后�����,另一“小米科技某安全漏洞影響88W+360W數據”的漏洞于同日10:23被提交至烏云��,至昨日午間����,廠(chǎng)商回應欄顯示為:“該漏洞之前在小米安全中心已經(jīng)提交過(guò)�����,我們已經(jīng)處理完成������!
近期�,用戶(hù)信息遭泄露的案例時(shí)有發(fā)生�。3月�����,攜程旅行網(wǎng)被曝銀行(行情
專(zhuān)區)卡支付環(huán)節的信息外泄�。此外��,在今年的3·15晚會(huì )上�,二維碼支付的安全漏洞也遭曝光�����。
盡管此次小米表示對于可能存在風(fēng)險的小部分賬號會(huì )要求用戶(hù)立即修改密碼�,但僅是修改密碼顯然不足以讓用戶(hù)“定心”�。
烏云稱(chēng)����,小米賬號比較特殊�,如果賬號密碼被破解��,可能影響到用戶(hù)的數據備份��,通信錄��、短信�����、照片甚至GPS位置等信息都會(huì )被波及����。烏云認為所有安全的核心都是數據����,既然移動(dòng)數據在云上����,移動(dòng)端的安全重點(diǎn)也會(huì )在云上���。