800万小米用户数据遭泄露 官方提醒更改密码

 　　

 

　　梅天一 5月14日报道

　　漏洞报告平台乌云网今天上午披露了小米公司用户社区的一则安全漏洞。乌云官方指出，该漏洞约有800万小米用户信息遭泄露，泄露信息中包括用户的用户名、密码、注册IP、邮箱等多种信息。漏洞报告称，被泄露的这些小米用户信息正在网盘中流传，并且已经有人下载完毕。

　　小米公司安全中心随后向其小米社区用户发布公告，确认了这一用户信息泄露事件。公告称，确有部分2012年8月前注册的小米论坛账号信息被非法获取，此后注册小米账号的用户在本次事件中不受影响。

　　小米公司的公告中称，被泄露的账号信息此前进行了严格加密，且不少用户近年已修改密码，“实际可能存在风险的只有其中一小部分。” 小米公司将通过短信、邮件等方式提示被泄露信息的用户尽快修改密码，而对于可能存在风险的小部分账号，小米会要求其立即修改密码。

　　原因：小米论坛早期程序存漏洞

　　ID为“路人甲”的乌云网用户今天发布漏洞报告，指小米论坛疑似被拖库(即黑客用非法手段获取网站的数据库和会员信息等)。乌云官方微博随后指出，该漏洞影响约有800万左右小米论坛用户。

　　瑞星公司安全专家对此漏洞分析后指出，本次拖库事件泄露的小米用户信息包括用户的账户密码、邮箱和相关IP地址，同时，由于小米账户可以互通关联，用户的通讯录、短信、照片、GPS定位信息等个人数据备份信息会也可以被黑客复制、曝光。

　　小米公司的公告透露，其在创业初期，论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月，基于安全考虑，旧论坛账号体系不再使用，小米将所有服务切换到全新的账号安全体系，并对所有存储数据均进行了最严格的安全加密。

　　小米的公告称，目前尚未就此接到用户投诉报告。腾讯科技调查发现，早在本月初，即有购买小米产品的用户在小米社区发贴称怀疑自己的信息遭到泄露。

　　用户信息泄露的危害性增大

　　互联网漏洞导致的用户信息泄露事件近年来频有发生。IT技术社区CSDN曾在2012年因明文存储用户密码并泄露遭到政府处罚;今年3月，乌云网连续披露了两个携程网安全漏洞，漏洞可导致携程用户的银行卡信息被泄露并被利用。

　　一位互联网安全分析人士向腾讯科技指出，随着云服务的兴起，大部分用户包括自己私密的短信、照片等数据信息已经和自己的账号绑定的越来越紧密。而互联网企业往往优先考虑用户操作便利性，而忽略安全性，这容易导致漏洞出现。

　　该人士认为，用户隐私数据泄露的危害性将越来越大，比如随着物联网的发展，通过一个账号控制家中电器，甚至是控制正在驾驶的汽车也将逐渐变为可能，如果用户帐号被侵入后果不堪设想。