小米连曝两漏洞 均可致用户资料大量泄露
2014-05-15   作者:赵娜  来源:每日经济新闻
分享到:
【字号

  乌云漏洞报告平台(以下简称乌云)接连曝出两个有关小米的漏洞,称漏洞类型均可能造成用户资料大量泄露。目前,小米官方确认了上述漏洞,并证实确有部分2012年8月前注册的论坛账号信息被非法获取。

  昨日晚间,记者从接近小米的相关人士处获悉,上述漏洞均是由于2012年8月以前小米的论坛及账号体系使用第三方开源程序所致。相关用户信息都非明文密码保存,均经过了加密,破解难度较大。

  乌云表示,小米的用户数据库在网盘中流传,虽一再封杀但已有人完成下载。据漏洞报告者提供的内容,泄露信息包括:用户名、密码、注册邮箱、IP及密码盐(Salt)等。

  昨日上午,小米安全中心于小米论坛发布了《致小米社区用户:小米社区账号信息安全防范公告》的置顶贴。小米证实确有部分2012年8月前注册的论坛账号信息被非法获取,但称这部分账号信息此前进行了严格加密(独立Salt单向哈希值),且不少用户近年已修改密码,实际可能存在风险的只有其中一小部分。小米称,截至公告前,尚未发现可见的流量异动以及投诉报告。

  记者留意到,在小米发出上述公告前后,另一“小米科技某安全漏洞影响88W+360W数据”的漏洞于同日10:23被提交至乌云,至昨日午间,厂商回应栏显示为:“该漏洞之前在小米安全中心已经提交过,我们已经处理完成。”

  近期,用户信息遭泄露的案例时有发生。3月,携程旅行网被曝银行(行情 专区)卡支付环节的信息外泄。此外,在今年的3·15晚会上,二维码支付的安全漏洞也遭曝光。

  尽管此次小米表示对于可能存在风险的小部分账号会要求用户立即修改密码,但仅是修改密码显然不足以让用户“定心”。

  乌云称,小米账号比较特殊,如果账号密码被破解,可能影响到用户的数据备份,通信录、短信、照片甚至GPS位置等信息都会被波及。乌云认为所有安全的核心都是数据,既然移动数据在云上,移动端的安全重点也会在云上。

  凡标注来源为“经济参考报”或“经济参考网”的所有文字、图片、音视频稿件,及电子杂志等数字媒体产品,版权均属经济参考报社,未经经济参考报社书面授权,不得以任何形式刊载、播放。
 
集成阅读:
· 小米手机在新加坡网上销售火爆 2014-03-18
· 小米手机新加坡开卖 2014-02-21
· 北京银行与小米合作 股价涨停 2014-02-19
· 北京银行与小米合作 股价涨停 2014-02-19
· 李克强“调侃”雷军“小米成了大米” 2014-01-19
 
频道精选:
·[财智]诚信缺失 家乐福超市多种违法手段遭曝光·[财智]归真堂创业板上市 “活熊取胆”引各界争议
·[思想]投资回升速度取决于融资进展·[思想]全球债务危机 中国如何自处
·[读书]《历史大变局下的中国战略定位》·[读书]秦厉:从迷思到真相
 
关于我们 | 版权声明 | 联系我们 | 媒体刊例 | 友情链接
经济参考报社版权所有 本站所有新闻内容未经经济参考报协议授权,禁止转载使用
新闻线索提供热线:010-63074375 63072334 报社地址:北京市宣武门西大街57号
JJCKB.CN 京ICP备12028708号