昨夜,烏云網(wǎng)證實小米論壇官方數(shù)據(jù)庫泄露�,涉及數(shù)百萬論壇注冊用戶����。根據(jù)泄露的數(shù)據(jù)可進入小米帳戶��,通過小米云服務獲得通訊錄���、照片等信息����。在互聯(lián)網(wǎng)高度普及的今天�����,許多人為了方便好記往往在所有的地方使用同一組ID和密碼,從小米論壇、網(wǎng)易郵箱�����、新浪微博到天涯社區(qū)……黑客“拖庫”后對目標帳號進行“試探”的成功率將會大大提高�����。
今天上午小米官方回應稱:“經(jīng)查�,確有部分2008年8月前注冊的論壇帳號信息被非法獲取”;對泄露原因,小米的解釋為“在創(chuàng)業(yè)初期����,我們的論壇及依附論壇產(chǎn)生的帳號體系都使用了第三方開源程序”���。
以下是小米官方回應全文:
尊敬的小米用戶:
2014年5月13日��,我們接獲部分早期小米論壇賬號信息可能泄露的消息,第一時間進行了全面安全檢查��。
經(jīng)查��,確有部分2012年8月前注冊的論壇賬號信息被非法獲取�����。
對此次事件給用戶帶來的困擾,我們深表歉意�。
這部分賬號信息此前進行了嚴格加密(獨立Salt單向哈希值)�����,且不少用戶近年已修改密碼����,實際可能存在風險的只有其中一小部分。截止公告前,我們尚未發(fā)現(xiàn)可見的流量異動以及投訴報告�����。
經(jīng)確認���,2012年8月后注冊小米賬號的用戶在本次事件中完全不受影響;對在此之前注冊小米論壇賬號�,且在2012年8月后未修改過密碼的用戶,出于安全考慮,我們將通過短信�����、郵件等方式提示其盡快修改密碼���。對于前述可能存在風險的小部分賬號�����,我們會要求其立即修改密碼��。
在創(chuàng)業(yè)初期,我們的論壇及依附論壇產(chǎn)生的賬號體系都使用了第三方開源程序����。2012年8月����,基于安全考慮����,舊論壇賬號體系不再使用��,小米將所有服務(包括小米云服務����、米幣等)切換到全新的賬號安全體系����,采用業(yè)界最新安全實踐方案,對所有存儲數(shù)據(jù)均進行了最嚴格的安全加密�。
用戶賬號和隱私安全是小米極其重視的頭等大事����,我們一直對此持最謹慎態(tài)度����,不遺余力地提升安全保障措施��,包括異地登錄預警、安全令牌登錄等����。用戶登錄使用重要服務(米幣中心�����、小米云服務等)時,還會在手機端得到安全提示推送���。
我們將密切關注此次安全事件動態(tài)和用戶反饋,持續(xù)跟進并及時通報。
小米安全中心
2014年5月14日
