昨日晚间,有微博用户爆料称,小米论坛数据库疑似泄露,在黑客界传播。后来这一消息得到了乌云漏洞平台证实,乌云在微博中表示,官方数据确实遭受了泄露事故,影响 800 万左右论坛注册用户。此外,乌云还提醒用户尽早修改密码,避免影响到小米云导致手机敏感信息泄露。
据了解,目前信息数据库已经在网盘中流传,虽然一再封杀但已经有人下载。漏洞报告者提供的信息称,泄露数据中包含用户名、密码、邮箱、注册 IP 以及密码盐(salt)等信息,数据量与微博消息基本属实。
此外,由于小米账户的云特性,如果账号密码被破解,很可能影响到用户的个人数据备份,比如通讯录、短信、照片、GPS 位置信息甚至远程擦除手机数据(格式化),安全起见,小米论坛用户务必先修改密码。
漏洞概要关注数(103) 关注此漏洞
缺陷编号: WooYun-2014-60627
漏洞标题: 小米论坛被脱裤(数据与官方符合)可能影响小米移动云等敏感信息
相关厂商: 小米科技
漏洞作者: 路人甲
提交时间: 2014-05-14 00:13
漏洞类型: 用户资料大量泄漏
危害等级: 高
漏洞状态: 等待厂商处理
漏洞来源: http://www.wooyun.org
Tags 标签: 无
而随后不久,小米在其官方论坛中对这一事件做出了官方回应,承认了部分论坛账号信息泄露的说法,并表示已经第一时间进行了全面安全检查。
按照小米的说法,确有部分 2012 年 8 月前注册的论坛账号信息被非法获取,因为在这个时间点之前小米论坛的账号体系都使用了第三方开源程序。而 2012 年 8 月,基于安全考虑,小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,对所有存储数据均进行了最严格的安全加密。
对于 2012 年 8 月以后未修改过密码的用户,小米将通过短信、邮件等方式提示其尽快修改密码。
而对于可能存在风险的小部分账号,小米会要求其立即修改密码。
具体公告可移步小米官方论坛查看:http://bbs.xiaomi.cn/thread-9772370-1-1.html
以下是小米官方回应全文:
尊敬的小米用户:
2014 年 5 月 13 日,我们接获部分早期小米论坛账号信息可能泄露的消息,第一时间进行了全面安全检查。
经查,确有部分 2012 年 8 月前注册的论坛账号信息被非法获取。
对此次事件给用户带来的困扰,我们深表歉意。
这部分账号信息此前进行了严格加密(独立 Salt 单向哈希值),且不少用户近年已修改密码,实际可能存在风险的只有其中一小部分。截止公告前,我们尚未发现可见的流量异动以及投诉报告。
经确认,2012 年 8 月后注册小米账号的用户在本次事件中完全不受影响;对在此之前注册小米论坛账号,且在 2012 年 8 月后未修改过密码的用户,出于安全考虑,我们将通过短信、邮件等方式提示其尽快修改密码。对于前述可能存在风险的小部分账号,我们会要求其立即修改密码,修改密码方式 https://account.xiaomi.com 。
在创业初期,我们的论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012 年 8 月,基于安全考虑,旧论坛账号体系不再使用,小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,采用业界最新安全实践方案,对所有存储数据均进行了最严格的安全加密。
用户账号和隐私安全是小米极其重视的头等大事,我们一直对此持最谨慎态度,不遗余力地提升安全保障措施,包括异地登录预警、安全令牌登录等。用户登录使用重要服务(米币中心、小米云服务等)时,还会在手机端得到安全提示推送。
我们将密切关注此次安全事件动态和用户反馈,持续跟进并及时通报。
小米安全中心
2014 年 5 月 14 日
更新
一波未平一波又起:小米再曝安全漏洞
刚刚又有用户在乌云漏洞平台曝光了小米的又一安全漏洞,涉及 88W+360W 用户数据,用户资料大量泄露。
目前,该漏洞细节已经通知小米官方,并等待处理。
漏洞概要
缺陷编号: WooYun-2014-60658
漏洞标题: 小米科技某安全漏洞影响 88W+360W 数据(另一漏洞)
相关厂商: 小米科技
漏洞作者: 爱上平顶山
提交时间: 2014-05-14 10:23
漏洞类型: 用户资料大量泄漏
危害等级: 高
漏洞状态: 厂商已经确认
漏洞来源: http://www.wooyun.org
Tags 标签: 无
漏洞详情
披露状态:
2014-05-14: 细节已通知厂商并且等待厂商处理中
2014-05-14: 厂商已经确认,细节仅向厂商公开
简要描述:
0. 0
漏洞 hash:17762bc134aba2490493da6080458701
版权声明:转载请注明来源 爱上平顶山@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞 Rank:15
确认时间:2014-05-14 12:08
厂商回复:
该漏洞之前在小米安全中心已经提交过,我们已经处理完成。属于过期数据库在线上未清理干净,感谢白帽子的提交。
最新状态:
暂无