昨日晚间,记者从接近小米的相关人士处获悉,上述漏洞均是由于2012年8月以前小米的论坛及账号体系使用第三方开源程序所致。相关用户信息都非明文密码保存,均经过了加密,破解难度较大。
乌云表示,小米的用户数据库在网盘中流传,虽一再封杀但已有人完成下载。据漏洞报告者提供的内容,泄露信息包括:用户名、密码、注册邮箱、IP及密码盐(Salt)等。
昨日上午,小米安全中心于小米论坛发布了《致小米社区用户:小米社区账号信息安全防范公告》的置顶贴。小米证实确有部分2012年8月前注册的论坛账号信息被非法获取,但称这部分账号信息此前进行了严格加密(独立Salt单向哈希值),且不少用户近年已修改密码,实际可能存在风险的只有其中一小部分。小米称,截至公告前,尚未发现可见的流量异动以及投诉报告。
记者留意到,在小米发出上述公告前后,另一“小米科技某安全漏洞影响88W+360W数据”的漏洞于同日10:23被提交至乌云,至昨日午间,厂商回应栏显示为:“该漏洞之前在小米安全中心已经提交过,我们已经处理完成。”
近期,用户信息遭泄露的案例时有发生。3月,携程旅行网被曝银行卡支付环节的信息外泄。此外,在今年的3·15晚会上,二维码支付的安全漏洞也遭曝光。
尽管此次小米表示对于可能存在风险的小部分账号会要求用户立即修改密码,但仅是修改密码显然不足以让用户“定心”。
乌云称,小米账号比较特殊,如果账号密码被破解,可能影响到用户的数据备份,通信录、短信、照片甚至GPS位置等信息都会被波及。乌云认为所有安全的核心都是数据,既然移动数据在云上,移动端的安全重点也会在云上。
