13日晚間,有微博爆料稱小米論壇用戶數據庫疑似泄露,涉及用戶約800萬。經烏云漏洞報告平臺證實,小米數據庫已在網上公開傳播下載,與小米官方數據吻合。而5月14日,繼早先有用戶爆出小米論壇存在漏洞導致部分數據泄露后,烏云再次曝出小米安全漏洞導致已經有大量用戶資料被泄露。百度安全專家分析稱,此次遭泄露的應該是2012年左右小米論壇的注冊用戶,同時提醒小米用戶盡快修改密碼,注意防范近期假冒小米客服等名義的電話或郵件詐騙。
漏洞爆出后,小米官方證實了這一情況的存在。小米官方稱,小米官方發現確有部分2012年8月前注冊的論壇賬號信息被非法竊取。經確認,只有2012年8月前注冊、且2012年8月后未修改密碼的小米賬號,存在被泄露的風險。
關于泄露的途徑,百度安全專家認為有多種,可能是網站有漏洞、服務器被黑客入侵,“內鬼”泄密等,也有可能并非網站自身數據庫泄露,。由于此次泄露的數據中,帶有大量用戶資料,其中包括用戶注冊時所用的用戶名、密碼、注冊IP、郵箱和電話號碼等。雖然密碼數據采用了一定的保護措施,但從目前網絡流傳的小米數據庫判斷,黑客破解這些密碼的約為70%-80%,這就意味著,大部分造泄露的用戶將會在短時間內被盜取密碼。黑客利用這些信息,將很輕松地進入小米云服務器,從而用來獲取更多的隱私信息,因此百度安全專家認為,此次用戶可能泄露的信息可能遠不止一點注冊信息那么簡單,它同時將包括用戶手機中的通訊錄、短信、照片、定位、鎖定手機及刪除信息等。
據悉,自信息泄露后,目前,已有不少小米用戶反饋稱接到01053799231、02160544527等來電。這些來電可提供準確小米用戶的個人信息,如:姓名、地址、電話、購買記錄等,以貨到付款的方式進行詐騙。甚至有網友提供了錄音作為被詐騙的證據。
因此,百度安全專家提醒各位小米及MIUI等用戶應盡快修改小米云服務的賬號及密碼,避免通訊錄等隱私信息再遭泄露。對于已經接到此類這類詐騙電話及短信的用戶,百度安全專家建議,應立即將詐騙電話攔黑,并通過短信等形式提醒周圍的朋友注意。
為防止類似的情況繼續發生,百度安全專家給出幾點建議:
一是要定期修改密碼,一個密碼長期使用,很容易被不法分子盜取并破解;
二是設置的密碼一定要強,盡量做到大小寫字母、數字和特殊字符混雜;
三是不要在所有的網絡服務中都使用一個賬戶和密碼,有些朋友為了省事、易記,往往在不同的網絡服務中使用一個ID和密碼,這樣,黑客盜取用戶的一個賬戶和密碼后,很容易用嘗試的方法,進入其他服務盜取相應信息;
四是不接聽來源不明的電話、短信,特別是當其中牽涉到網購和網銀等敏感信息時,一定要引起自己的警覺。
(新聞稿 2014-05-15)