小米拖库800w数据库泄漏,论坛路由器百度云网盘下载密码密文明文

2014年5月14日 发表评论 阅读评论

乌云平台爆出小米官方论坛800w用户信息泄露,小米官网被黑客拖库。小编第一时间找到了网上流传的小米800W数据库的百度网盘下载地址给大家分享,仅供参考!请注册小米论坛的用户尽快修改密码!问题十分严重:有网友亲测泄露的数据可进入小米账户,通过小米云服务可得到手机号及设备信息。通过同步可获得通讯录,短信,照片,便签。并可在线定位,发警报,锁定手机,及擦除信息等操作。大部分账号同步使用邮箱,京东,支付宝等。

密码已经被Hash加密,有salt不是能解么 有salt只是能穷举暴力破解了而已啊,不然连暴力破解都做不到

小米数据库下载

重点不是密码被盗。。懂吗?。。。。。地址和联系电话加密了吗?

我还是更好奇是如何通过已经被hash过的密码 进入小米账户从何获得其他信息的……

点击图片分享到上海滩微博
或者是整个小米服务库都被拖了?

另外 企业越大,对用户数据安全的责任也越大,尤其一个快速成长的企业,初期可能对安全并不是很重视。

我还是先去修改密码了……

话说回来,网络安全这玩意,曝光一些你知道一些,不曝光你也不知道,究竟有多少资料已经被拖?比如小米是否最新的网站是否存有漏洞已经被人非法获取最新的信息?不得而知啊~

结尾……
不知道会不会有出过类似安全事故的企业员工,忘记自己企业的安全事故来嘲笑小米呢……

尊敬的小米用户:

2014年5月13日,我们接获部分早期小米论坛账号信息可能泄露的消息,第一时间进行了全面安全检查。

经查,确有部分2012年8月前注册的论坛账号信息被非法获取。

对此次事件给用户带来的困扰,我们深表歉意。

这部分账号信息此前进行了严格加密(独立Salt单向哈希值),且不少用户近年已修改密码,实际可能存在风险的只有其中一小部分。截止公告前,我们尚未发现可见的流量异动以及投诉报告。

经确认,2012年8月后注册小米账号的用户在本次事件中完全不受影响;对在此之前注册小米论坛账号,且在2012年8月后未修改过密码的用户,出于安全考虑,我们将通过短信、邮件等方式提示其尽快修改密码。对于前述可能存在风险的小部分账号,我们会要求其立即修改密码。

在创业初期,我们的论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月,基于安全考虑,旧论坛账号体系不再使用,小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,采用业界最新安全实践方案,对所有存储数据均进行了最严格的安全加密。

用户账号和隐私安全是小米极其重视的头等大事,我们一直对此持最谨慎态度,不遗余力地提升安全保障措施,包括异地登录预警、安全令牌登录等。用户登录使用重要服务(米币中心、小米云服务等)时,还会在手机端得到安全提示推送。

我们将密切关注此次安全事件动态和用户反馈,持续跟进并及时通报。

小米安全中心

2014年5月14日

二,个人的一点说明(本人非技术专家,如果下面有描述不够精确的地方还请知乎各位大神帮忙指正):

我再解释一下,只是说给群里的诸君,不代表官方公关辞令:这次乌云爆的这个问题,从技术角度上讲,确实是“有风险”,我们不可能说它没风险。但是实际上,从技术角度来讲,风险非常有限。但是这么对公众解释估计是解释不清楚的,但是我希望至少你们能够了解。小米帐号系统在升级到小米passport之后,本身就强制要求大家修改过一次密码。之前的小米社区帐号系统是可以使用简单密码的,后来必须强制到有大小写字母和数字组合的密码。我的密码就是那个时候更改的。可以说,经历过这一步的用户,应该是安全的。

1,这次小米论坛的帐号信息泄露不同于csdn的那次。那次是明文信息,任何普通人脱裤下来都能看到所有信息,风险极大。小米这次被泄露的信息是2012年8月之前的小米论坛帐号信息,所有信息都有独立加密和加盐,在理论上,有技术的黑客可以通过一些技术手段破解这些加密信息,但不表示这个破解很容易。

2,这次小米论坛的帐号信息泄露也不同于携程那次,携程仍然是明文存储信息,而且是存储用户当前的信用卡信息以及末三码,那个直接威胁了用户的财务安全。但是小米论坛在2012年8月仅仅是个论坛而已,而且小米passport在2012年8月启用后,曾经强制所有用户将过去的简单密码修改成复杂密码。因此有风险的仅仅是2012年8月前注册,且随后至今一直没有修改过密码的帐号。

3,这个风险的存在也是,黑客需要对每一个账户加密信息进行技术解密,然后再去小米官网验证是否能登陆(是否修改过密码),如果改过,他无能为力。如果没改过,黑客才能去看看这个帐号是否有价值。

我非常,非常,非常,非常的理解大家对于个人信息安全问题的担心,因此也非常希望能够尽可能清楚的跟大家解释明白。希望诸君不要对此事杯弓蛇影。出于对诸位小米用户的账户的安全性的考虑,我们仍然建议用户修改密码。

这个新闻把问题严重化了,一点常识都没有,就算是被脱库了你也拿不到密码好不好,现在的数据库根本不会保存密码的明文或者可解密的密文。

下面具体分析一下:
被拖的数据:小米12年启用统一账户体系之前的论坛用户数据,其中密码是经过加密的。
被拖原因:应该是之前使用的第三方论坛的漏洞。这个库应该是早就被拖了,黑客最近终于卖了个好价钱,来制造这个新闻。。
风险:对于大部分人来说风险在于手机和邮箱的泄露,给广告推销可乘之机。
对于某些密码过于简单的用户,像123456这种,你的密码有被暴力破解的风险。
用户数据都是12年之前的。


转载请注明来自:[MSN Spaces]http://msn.shandian.biz/579.html

  1. 本文目前尚无任何评论.