| 5月14日消息,今日烏雲平web design臺有用戶爆出小米論壇存在漏洞導致部分數據泄露,上午小米官方確認瞭這一漏洞,稱確實有部分論壇帳號被非法獲取,並表示2012年8月後註冊小米賬號的用戶在本次事件中完全不受影響。
烏雲平臺的漏洞提交者稱,小米論壇被拖庫,可能影響小米移動雲等敏網頁寄存感信息,烏雲品太顯示,該漏洞已經dedicated server提交給廠商,目前正在處理中。
而在13日晚就有微博認證用戶爆料瞭這一消息,稱大概8seo優化00W小米論壇的用戶數據庫在黑客界傳播。
小米官方在小米論壇發佈公告稱,經查確有部分2012年8月前註冊的論壇賬號信息被非法獲取,這部分賬號信息此前進行瞭嚴格加密(獨立Salt
單向哈希值),且不少用戶近年已修改密碼,實際可能存在風險的隻有其中一小部分。截止公告前,我們尚未發現可見的流量異動以及投訴報告。
以下是小米官方公告原文:
尊敬的小米用戶:
2014年5月13日,我們接獲部分早期小米論壇賬號信息可能泄露的消息,第一時間進行瞭全面安全檢查。
經查,確有部分2012年8月前註冊的論壇賬號信息被非法獲取。
對此次事件給用戶帶來的困擾,我們深表歉意。
這部分賬號信息此前進行瞭嚴格加密(獨立Salt單向哈希值),且不少用戶近年已修改密碼,實際可能存在風險的隻有其中一小部分。截止公告前,我們尚未發現可見的流量異動以及投訴報告。
經確認,2012年8月後註冊小米賬Web Hosting號的用戶在本次事件中完全不受影響;對在此之前註冊小米論壇賬號,且在2012年8月後未修改過密碼的用
戶,出於安全考慮,我們將通過短信、郵件等方式提示其盡快修改密碼。對於前述可能存在風險的小部分賬號,我們會要求其立即修虛擬伺服器改密碼。
在創業初期,我們的論壇及依附論壇產生的賬號體系都使用瞭第三方開源程序。2012年8月,基於安全考慮,舊論壇賬號體系不再使用,小米將所有
服務(包括小米雲服務、米幣等)切換到全新的賬號安全體系,采用業界最新安全實踐方案,對所有存儲數據均進行瞭最嚴格的安全加密。
用戶賬號和隱私安全是小米極其重視的頭等大事,我們一直對此持最謹慎態度,不遺餘力地提升安全保障措施,包括異地登錄預警、安全令牌登錄等。用戶登錄使用重要服務(米幣中心、小米雲服務等)時,還會在手機端得到安全提示推送。
我們將密切關註此次安全事件動態和用戶反饋,持續跟進並及時通報。
小米安全中心
2014年5月14日 原標題:小米確認漏洞:2012年8月後帳號不受影響 |