• 首页
• 产品目录
  • 加密产品
    • 标准版
    • 标准版+
    • 专业版
  • 商用安全产品
    • 数据服务器
    • 安全U盘
    • Web 防篡改系统
  • 企业防泄密系统
    • 设计经典版
    • 管理平台版
    • 至尊企业版
• 解决方案
• 服务与支持
  • 在线支持
  • 软件下载
• 保密技术
• 关于我们

　　今天是小米公司新品发布会的时间，但记者留意到有相当一部分小米人员被紧急调配去处理资料安全工作。原因是早前有网友爆料称小米官网论坛800万的用户数据泄露，这一消息昨日在国内安全问题反馈平台乌云网获得证实。根据乌云网公布的信息显示，小米论坛官方数据库泄露涉及800万小米论坛注册用户，泄露的数据可进入小米账户，通过小米云服务可得到手机号及设备信息；通过同步可获得通讯录、短信、照片，并可在线定位，锁定手机及擦除信息等。目前，小米公司已经紧急处理此事，并且发布了《账号安全防范公告》提醒论坛用户修改自己的账号密码。

　　未注册小米论坛不代表不受影响

　　ID为“路人甲”的乌云网用户发布的漏洞报告指出，小米论坛疑似被拖库。乌云官方微博随后在昨日凌晨指出，该漏洞影响约有800万左右小米论坛用户。据了解，“拖库”是黑客圈子的一种叫法，是指将网站的数据库被黑客下载到本地，其往往会导致网站大量数据泄露，进而引发用户隐私被窃取、密码被盗等严重后果。

　　有业内人士指出，在互联网高度普及的今天，许多人为了方便好记往往在所有的地方使用同一组ID和密码，从小米论坛、网易邮箱、新浪微博到天涯社区……黑客“拖库”后对目标账号进行“试探”的成功率将会大大提高。

　　瑞星安全专家提醒，此次被拖库的数据文件大小约为500MB，存放的是小米论坛2012年前后注册的用户信息，经过部分验证，确实存在大量真实的米粉信息。数据库中存储的用户信息主要为用户名、通过MD5加密的密码、邮箱和用户相关IP地址等。但由于小米账号存在关联互通，且大量用户在网上经常使用同样的账号密码，所以一旦这些数据被黑客获取，很有可能进行与其他账户的匹配测试，给用户带来严重的安全风险。

　　还有安全专家提醒称，虽然本次遭黑客窃取的是小米论坛账户资料，有部分小米产品的购买者从来没有在论坛上注册个人资料，但并不代表这就可以安枕无忧。“小米自身研发的米MINI里面很多应用需要注册个人信息，即使不是通过云应用关联，也有可能透过某些渠道与小米论坛相联系。”

　　小米：2012年8月以后注册用户不受影响

　　对此，小米公司昨日回应称，其在创业初期，论坛及依附论坛产生的账号体系都使用了第三方开源程序。经确认，2012年8月前注册且2012年8月后未修改密码的小米账号，有少部分可能存在风险。小米表示，这部分账号信息此前进行了严格加密(独立Salt单向哈希值)，且不少用户近年已修改密码，实际可能存在风险的只有其中一小部分。截至公告前，尚未发现可见的流量异动以及投诉报告。

　　此外，小米确认，2012年8月后注册小米账号的用户在本次事件中完全不受影响。“基于安全考虑，2012年8月以后，旧论坛账号体系不再使用，小米将所有服务切换到全新的账号安全体系，并对所有存储数据均进行了最严格的安全加密。”

　　安全专家：加密账户也要小心

　　尽管小米声称对部分账户信息进行了严格加密，但360的安全专家表示，对于设置简单的密码来说，独立Salt单向哈希值也很容易被黑客破解。

　　据介绍，在国内一个站长交流群，名为“打个酱油”的白帽子实测验证，他从网上下载了黑客公布的小米论坛用户数据，并随机抽取30条数据进行破解，发现其中有21条数据可以还原出密码明文，破解成功率达到70%。

　　白帽子也测试发现，只有用户名和小米自动生成的邮箱无法直接登录小米账号，必须使用用户自己填写的邮箱才可以登录。经过统计，网传的小米数据库中，有217万条记录填写了注册邮箱。如果按照70%的破解比率推算，共计约151.9万用户账号可能被黑客成功登录，账号关联的通讯录、短信、照片、GPS地理位置等数据备份存在被盗风险。

　　近年来发生的恶性信息安全事件

　　时间 泄露事件

　　2013年2月27日 中国人寿确认，名为“众宜风险管理网”的网站泄漏中国人寿客户信息

　　2013年06月 乌云曝光，搜狗输入法可导致大量用户敏感信息泄露

　　2013年10月 乌云报告称，如家、汉庭等大批酒店的开房记录被第三方存储，并且因为漏洞而泄露

　　2014年3月22日 乌云曝光携程存在漏洞，用户信用卡信息遭泄露

　　延伸

　　互联网近来频现安全漏洞，业内称因互联网企业更重视操作便利性。

　　根据记者在乌云网观察发现，不完全统计数据下乌云网首页“最新公开”的安全问题就超过1万个，这些漏洞所涉领域繁多，既有腾讯、阿里巴巴等IT企业，也有各大银行、国家航空、海关系统甚至政府各部门官方网站等核心网站。

　　今年3月，携程旅行网就爆出用户的银行卡支付信息泄露事件。此前，国内还连续发生了如家等快捷酒店开房记录泄露、中国人寿80万保单信息泄露、搜狗手机输入法漏洞导致大量用户信息泄露等恶性信息安全事件。

　　记者采访360网站安全检测平台获悉，网站数据库泄露的主要原因是网站有漏洞，国内流行的各大建站系统更是频繁曝出漏洞。有互联网安全分析人士认为，随着云服务的兴起，大部分用户包括自己私密的短信、照片等数据信息已经和自己的账号绑定的越来越紧密。而互联网企业往往优先考虑用户操作便利性，而忽略安全性，这容易导致漏洞出现。