800万用户数据泄露 小米公司动口不动手？-万网资讯网
当前位置： &>&>
800万用户数据泄露 小米公司动口不动手？
5月13日，有微博爆料称，北京小米科技有限责任公司（以下简称小米公司）论坛用户数据库疑似泄露，涉及800万小米论坛注册用户，引爆网络舆论。次日，小米公司发布公告确认此事并向用户致歉，但此后未有更多信息公开，主流媒体也集体放水。泄露数据是黑客窃取还是内部出售？小米公司如何力压舆情？本期《网络舆情》梳理网络舆论，回应公众关切。
　　追问一：网传用户数据是否真实？
5月13日23时13分，微博认证为山东电视台记者的＠风似利刃发布微博称：“据知情人爆料，疑似＠小米手机论坛的用户数据库在黑客界传播。大概800万数据，多为2013年左右的老数据。小米用户注意修改密码。”
30分钟后，国内安全问题反馈平台乌云网在官方微博＠乌云－漏洞报告平台跟进并转发：“有消息称小米论坛数据库疑似遭到泄露，大概影响到2013年的800万用户数据。目前，消息真实性正在确认中，希望知情人士可以提供线索，同时请小米用户做好修改密码的准备，因为泄露信息很可能间接影响到小米手机云中的敏感数据！”
两条微博一时间引爆网络舆论，转发均达到500次左右，评论也接近100条，其中不乏中招者，纷纷表示惊讶和愤怒，但也有部分网友表现出理性的一面，要求出示更多证据。
5月14日凌晨，乌云网发布了编号WooYun－的漏洞检测报告，对用户数据泄露事件进行评估，并将结果通知了小米公司。
报告显示，泄露的用户数据最早出现于中国社会工程学联盟官方网站，且与小米公司官方提供的数据一致。泄露信息包括用户名、密码、注册邮箱、IP及密码盐（Salt）等。
面对凌晨曝出的突发舆情，小米公司反应相当迅速。
14日上午10时，小米公司安全中心在小米论坛和官方微博发布《小米社区账号信息安全防范公告》，证实确有部分2012年8月前注册的论坛账号信息被非法获取，但称这部分账号信息此前进行了严格加密，且不少用户近年已修改密码，实际可能存在风险的只有其中一小部分。并表示，对于存在风险的用户，其将通过短信、邮件等方式提示其尽快修改密码。
虽然第一时间回应，但是内容轻描淡写，处置简单，激怒了用户和网友。
小米社区网友“猥琐的胖子”：太慢了……10多个小时才发布通告。
＠百里北：没收到任何短信邮件提醒，早上开机发现小米账户无法登录，想改密码还不能直接用绑定邮箱修改，发验证码的手机号早就不用了，然后还要把身份证照片发过去。账号都泄露了，我还敢把身份证给你吗？
而所谓“严格加密”和“实际可能存在风险的只有其中一小部分”之说也极为不专业。
对于前者，在公告发布前，＠风似利刃称“用MD5破解网站上的DISCUZ方式可以破解一部分”；对于后者，乌云网表示，小米公司的用户数据库在网盘中流传，虽一再封杀但已有人完成下载，且数量无可统计。瑞星漏洞平台：小米论坛800万信息被拖库
5月14日凌晨，有网友向正在内测中的瑞星漏洞平台提交了一份数据库样本，内容显示，该数据存放的是小米官方论坛2012年左右约800万用户账户信息。瑞星安全专家指出，本次拖库事件泄露的小米用户信息包括用户的账户密码、邮箱和相关IP地址，同时，由于小米账户可以互通关联，用户的通讯录、短信、照片、GPS定位信息等个人数据备份信息会也可以被黑客复制、曝光。瑞星安全专家提醒广大小米用户，应尽快修改自己的账号密码，并进行相关安全设置，避免个人信息和网络财产受损。
据了解，5月13日晚间有网民在微博上爆料称疑似小米手机坛的用户数据库在黑客界传播，大概800万数据。此前，小米论坛已经出现大量网友投诉自己因在小米网站的购物信息被泄露而遭遇诈骗。目前，瑞星客服已收不少网友反馈表示自己的小米账号被盗，登录小米官网ID时被要求立刻修改密码。
图1：网友在小米论坛投诉个人信息被泄露遭遇诈骗图2：网友的小米ID因盗号被冻结
瑞星安全专家提醒，此次本拖库的数据文件大小约为500MB，存放的是小米论坛2012年前后注册的用户信息，经过部分验证，确实存在大量真实的米粉信息。数据库中存储的用户信息主要为用户名、通过MD5加密的密码、邮箱和用户相关IP地址等。但由于小米账号存在关联互通，且大量用户在网上经常使用同样的账号密码，所以一旦这些数据被黑客获取，很有可能进行与其他账户的匹配测试，给用户带来严重的安全风险。
图3：网民提交的小米论坛用户信息数据库
目前，小米公司已经向用户发出通知，要求2012年8月前注册的用户及时更改用户名和密码。在此，瑞星提醒广大网民，要及时更改自己常用的账号密码，并要养成定期更改密码的习惯，在有条件的情况下，建议每月更改一次。另外，不要在网上使用统一的账号密码，这样一旦出现安全风险，网民受到的损失可能是成倍递增的。广大网民和网站维护人员应定期检查网站安全性并关注安全厂商发布的安全公告，不断提升自身的防护水平。针对此次事件的更多详情，瑞星漏洞平台内测版将不断关注并公布。
瑞星漏洞平台是瑞星公司基于多年的信息安全技术与经验积累开发的一套互联网安全漏洞开放平台。该平台面向所有网民、企业、政府公开，网民可以提交互联网中存在的最新漏洞信息，瑞星公司在收到用户提交的信息后，通过验证并与相关方面通告核实，会在第一时间向网民进行公开，并对第一提交贡献者进行奖励。目前，该平台基础功能已经实现，正在进行内部测试，近期会与大家正式见面。
附：小米社区官方公告
致小米社区用户：小米社区账号信息安全防范公告
尊敬的小米用户：
日，我们接获部分早期小米论坛账号信息可能泄露的消息，第一时间进行了全面安全检查。
经查，确有部分2012年8月前注册的论坛账号信息被非法获取。
对此次事件给用户带来的困扰，我们深表歉意。
这部分账号信息此前进行了严格加密(独立Salt单向哈希值)，且不少用户近年已修改密码，实际可能存在风险的只有其中一小部分。截止公告前，我们尚未发现可见的流量异动以及投诉报告。
经确认，2012年8月后注册小米账号的用户在本次事件中完全不受影响;对在此之前注册小米论坛账号，且在2012年8月后未修改过密码的用户，出于安全考虑，我们将通过短信、邮件等方式提示其尽快修改密码。对于前述可能存在风险的小部分账号，我们会要求其立即修改密码，修改密码方式。
在创业初期，我们的论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月，基于安全考虑，旧论坛账号体系不再使用，小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系，采用业界最新安全实践方案，对所有存储数据均进行了最严格的安全加密。
用户账号和隐私安全是小米极其重视的头等大事，我们一直对此持最谨慎态度，不遗余力地提升安全保障措施，包括异地登录预警、安全令牌登录等。用户登录使用重要服务(米币中心、小米云服务等)时，还会在手机端得到安全提示推送。
我们将密切关注此次安全事件动态和用户反馈，持续跟进并及时通报。
小米安全中心
相关报道：
新闻热线：010-
责任编辑：任光飞
名企动态： |
标志着Windows迈出个性化计算的第一步……
本站特聘法律顾问:于国富律师
Copyright (C) 1997-内容字号：
段落设置：
字体设置：
请修改密码，小米论坛800W数据疑似泄露
来源：作者：木木责编：木木
5月14日凌晨消息，中国互联网又爆出用户信息泄露事件。据知情人爆料，疑似小米论坛的用户数据库在黑客界传播。大概800W数据，多为13年左右的老数据；并提醒小米用户注意修改密码。
山东电视台记者 @风似利刃 13日23点左右发布微博称，“据知情人爆料，疑似&@小米手机&论坛的用户数据库在黑客界传播。大概800W数据，多为13年左右的老数据。小米用户注意修改密码。 ”
国内安全问题反馈平台乌云跟进并转发称，“有消息称小米论坛数据库疑似遭到泄露，大概影响到2013年的800w用户数据，目前消息真实性正在确认中，希望知情人士可以提供线索，同时请小米用户做好修改密码的准备，因泄露信息很可能间接影响到小米手机云中的敏感数据！&”
有网友强调小米泄露数据库中的密码是加密的，但@风似利刃 称“用MD5破解网站上的DISCUZ方式可以破解一部分”。另外，还有用户感叹“之前有很多用户收到过诈骗电话，数据来源很可能来着这里。”
目前该爆料的真实性还待进一步确认，但为了安全起见，小米论坛用户需做好修改密码的准备。也将跟进事件进展并为大家播报最新消息。
相关文章|||||
软媒旗下软件：|||||||
IT之家，软媒旗下，国内顶级IT科技门户网站。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号}