昨日 (5月14日),烏云漏洞報告平臺(以下簡稱烏云)接連曝出兩個有關小米的漏洞,稱漏洞類型均可能造成用戶資料大量泄露。目前,小米官方確認了上述漏洞,并證實確有部分2012年8月前注冊的論壇賬號信息被非法獲取。
昨日晚間,《每日經濟新聞》記者從接近小米的相關人士處獲悉,上述漏洞均是由于2012年8月以前小米的論壇及賬號體系使用第三方開源程序所致。相關用戶信息都非明文密碼保存,均經過了加密,破解難度較大。
烏云表示,小米的用戶數據庫在網盤中流傳,雖一再封殺但已有人完成下載。據漏洞報告者提供的內容,泄露信息包括:用戶名、密碼、注冊郵箱、IP及密碼鹽(Salt)等。
昨日上午,小米安全中心于小米論壇發布了《致小米社區用戶:小米社區賬號信息安全防范公告》的置頂貼。小米證實確有部分2012年8月前注冊的論壇賬號信息被非法獲取,但稱這部分賬號信息此前進行了嚴格加密(獨立Salt單向哈希值),且不少用戶近年已修改密碼,實際可能存在風險的只有其中一小部分。小米稱,截至公告前,尚未發現可見的流量異動以及投訴報告。
記者留意到,在小米發出上述公告前后,另一“小米科技某安全漏洞影響88W+360W數據”的漏洞于同日10:23被提交至烏云,至昨日午間,廠商回應欄顯示為:“該漏洞之前在小米安全中心已經提交過,我們已經處理完成。”
近期,用戶信息遭泄露的案例時有發生。3月,攜程旅行網被曝銀行卡支付環節的信息外泄。此外,在今年的3·15晚會上,二維碼支付的安全漏洞也遭曝光。
盡管此次小米表示對于可能存在風險的小部分賬號會要求用戶立即修改密碼,但僅是修改密碼顯然不足以讓用戶“定心”。
烏云稱,小米賬號比較特殊,如果賬號密碼被破解,可能影響到用戶的數據備份,通信錄、短信、照片甚至GPS位置等信息都會被波及。烏云認為所有安全的核心都是數據,既然移動數據在云上,移動端的安全重點也會在云上。
京公網安備 11010502049343號