小米論壇800萬用戶數據庫泄漏 請立即修改密碼

        昨日晚間，有微博用戶爆料稱，小米論壇數據庫疑似泄露，在黑客界傳播。后來這一消息得到了烏云漏洞平臺證實，烏云在微博中表示，官方數據確實遭受了泄露事故，影響 800 萬左右論壇注冊用戶。此外，烏云還提醒用戶盡早修改密碼，避免影響到小米云導致手機敏感信息泄露。

        據了解，目前信息數據庫已經在網盤中流傳，雖然一再封殺但已經有人下載。漏洞報告者提供的信息稱，泄露數據中包含用戶名、密碼、郵箱、注冊 IP 以及密碼鹽（salt）等信息，數據量與微博消息基本屬實。

        此外，由于小米賬戶的云特性，如果賬號密碼被破解，很可能影響到用戶的個人數據備份，比如通訊錄、短信、照片、GPS 位置信息甚至遠程擦除手機數據（格式化），安全起見，小米論壇用戶務必先修改密碼。

漏洞概要關注數(103) 關注此漏洞

缺陷編號： WooYun-2014-60627

漏洞標題： 小米論壇被脫褲（數據與官方符合）可能影響小米移動云等敏感信息

相關廠商： 小米科技

漏洞作者： 路人甲

提交時間： 2014-05-14 00:13

漏洞類型： 用戶資料大量泄漏

危害等級： 高

漏洞狀態： 等待廠商處理

漏洞來源： http://www.wooyun.org

Tags 標簽： 無

        而隨后不久，小米在其官方論壇中對這一事件做出了官方回應，承認了部分論壇賬號信息泄露的說法，并表示已經第一時間進行了全面安全檢查。

        按照小米的說法，確有部分 2012 年 8 月前注冊的論壇賬號信息被非法獲取，因為在這個時間點之前小米論壇的賬號體系都使用了第三方開源程序。而 2012 年 8 月，基于安全考慮，小米將所有服務（包括小米云服務、米幣等）切換到全新的賬號安全體系，對所有存儲數據均進行了最嚴格的安全加密。

        對于 2012 年 8 月以后未修改過密碼的用戶，小米將通過短信、郵件等方式提示其盡快修改密碼。

        而對于可能存在風險的小部分賬號，小米會要求其立即修改密碼。

        具體公告可移步小米官方論壇查看：http://bbs.xiaomi.cn/thread-9772370-1-1.html

        以下是小米官方回應全文：

        尊敬的小米用戶：

        2014 年 5 月 13 日，我們接獲部分早期小米論壇賬號信息可能泄露的消息，第一時間進行了全面安全檢查。

        經查，確有部分 2012 年 8 月前注冊的論壇賬號信息被非法獲取。

        對此次事件給用戶帶來的困擾，我們深表歉意。

        這部分賬號信息此前進行了嚴格加密（獨立 Salt 單向哈希值），且不少用戶近年已修改密碼，實際可能存在風險的只有其中一小部分。截止公告前，我們尚未發現可見的流量異動以及投訴報告。

        經確認，2012 年 8 月后注冊小米賬號的用戶在本次事件中完全不受影響；對在此之前注冊小米論壇賬號，且在 2012 年 8 月后未修改過密碼的用戶，出于安全考慮，我們將通過短信、郵件等方式提示其盡快修改密碼。對于前述可能存在風險的小部分賬號，我們會要求其立即修改密碼， 修改密碼方式 https://account.xiaomi.com 。

        在創業初期，我們的論壇及依附論壇產生的賬號體系都使用了第三方開源程序。2012 年 8 月，基于安全考慮，舊論壇賬號體系不再使用，小米將所有服務（包括小米云服務、米幣等）切換到全新的賬號安全體系，采用業界最新安全實踐方案，對所有存儲 數據均進行了最嚴格的安全加密。

        用戶賬號和隱私安全是小米極其重視的頭等大事，我們一直對此持最謹慎態度，不遺余力地提升安全保障措施，包括異地登錄預警、安全令牌登錄等。用戶登錄使用重要服務（米幣中心、小米云服務等）時，還會在手機端得到安全提示推送。

        我們將密切關注此次安全事件動態和用戶反饋，持續跟進并及時通報。

        小米安全中心

        2014 年 5 月 14 日

                    <span id="shareA4" class="fl">                          </span>