滚动资讯:

小米论坛被曝泄露800万用户数据
发布时间:2014-05-15   来源:北京青年报  作者:吴琳琳

小米安全中心证实,有部分2012年8月前注册的论坛账号信息被非法获取。

安全专家建议用户,尽快修改密码,谨防假冒小米客服等名义的电话或邮件诈骗。

小米论坛昨日被曝用户数据库疑似泄露,乌云-漏洞报告平台证实,涉及800万左右论坛注册用户。用户应及时修改密码,以免影响到小米云,从而导致手机敏感信息泄露。对此,小米安全中心表示,确有部分2012年8月前注册的论坛账号信息被非法获取。

部分2012年8月前注册账号信息泄露

小米安全中心昨日在回应中称,5月13日接获部分早期小米论坛账号信息可能泄露的消息,第一时间进行了全面安全检查。经查,确有部分2012年8月前注册的论坛账号信息被非法获取。不过,小米安全中心强调,这部分账号信息此前进行了严格加密,且不少用户近年已修改密码,实际可能存在风险的只有其中一小部分。

截止到公告前,尚未发现可见的流量异动以及投诉报告。经确认,2012年8月后注册小米账号的用户在本次事件中完全不受影响;对在此之前注册小米论坛账号,且在2012年8月后未修改过密码的用户,出于安全考虑,将通过短信、邮件等方式提示其尽快修改密码。

小米避谈数据泄露原因

据介绍,在创业初期,小米的论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月,基于安全考虑,旧论坛账号体系不再使用,小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,采用业界最新安全实践方案,对所有存储数据均进行了最严格的安全加密。对于此次数据泄露的原因,小米安全中心在回应中并未提及,仅表示,一直不遗余力地提升安全保障措施。

泄露数据可能被用来诈骗

360安全专家安扬分析,数据库泄露存在多种可能,包括网站有漏洞、服务器被黑客入侵,“内鬼”泄密等,也有可能并非网站自身数据库泄露,而是黑客使用其他网站数据尝试登录生成的数据(俗称“撞库”)。此前,国内多家知名网站也曾曝出数据库泄露事故,数亿条用户注册邮箱和密码在网上流传,由此引发的盗号、诈骗和垃圾邮件骚扰持续达数年之久。

不过,安扬强调,由于小米账号关联着小米手机和MIUI用户的移动云服务,一旦密码泄露,很可能危及用户的个人数据备份,不法分子甚至可能远程擦除受害者的手机数据,其风险相当严重。

“从网络流传的小米数据库判断,数据库中的密码数据使用了保护措施,黑客还原明文密码的概率约为70%-80%,简单密码容易被破解。此外,疑似小米的泄露数据还带有用户资料,可能被不法分子利用进行诈骗。”安扬建议小米论坛用户:第一,尽快修改密码,以免账号关联的通讯录、短信等数据备份被盗;第二,谨防假冒小米客服等名义的电话或邮件诈骗。

文/记者 吴琳琳