-
-
白帽黑客实测小米数据库:约150万账户存被入侵
-
发表于: 2014-5-15 16:27 689
-
新闻链接:http://www.2cto.com/News/201405/300912.html
新闻时间:2014-05-15
新闻正文:
小米论坛曝出重大数据泄露事故,近830万条用户密码在网上公开流传。有站长社区的白帽黑客验证发现,小米数据库中约有114万账户可被黑客成功入侵。
针对数据泄露事件,小米公司官方微博回应称,部分2012年8月前注册的论坛账号信息被非法获取,由于数据库对用户密码采用了加密措施(独立Salt单向哈希值),受到影响的用户账号有限。但小米并未透露受影响账号的真实数量。
不过对于设置简单的密码来说,独立Salt单向哈希值也很容易被黑客破解。在国内一个站长交流群,名为“打个酱油”的白帽子实测验证,他从网上下载了黑客公布的小米论坛用户数据,并随机抽取30条数据进行破解,发现其中有21条数据可以还原出密码明文,破解成功率达到70%。
图:白帽子测试小米用户数据库的有效性
不过,白帽子也测试发现,只有用户名和小米自动生成的邮箱无法直接登录小米账号,必须使用用户自己填写的邮箱才可以登录。经过统计,网传的小米数据库中,有217万条记录填写了注册邮箱。如果按照70%的破解比率推算,共计约151.9万用户账号可能被黑客成功登录,账号关联的通讯录、短信、照片、GPS地理位置等数据备份存在被盗风险。
记者采访360网站安全检测平台获悉,网站数据库泄漏的主要原因是网站有漏洞,国内流行的各大建站系统更是频繁曝出漏洞。为此360推出库带计划,悬赏白帽子提交漏洞,光2013年就收到1596个有效漏洞,帮助178个厂商修复了漏洞。除了及时修复漏洞以外,广大站长还可以为网站配置免费的360网站卫士,能够有效防范黑客攻击。
360安全工程师提醒小米论坛用户,最好尽快修改小米账号的密码,以免账号关联的个人信息被黑客盗取。此外,由于小米泄漏的数据库中还带有用户姓名、电话等资料,相关用户应高度警惕假冒小米客服名义的电话或邮件诈骗。
新闻时间:2014-05-15
新闻正文:
小米论坛曝出重大数据泄露事故,近830万条用户密码在网上公开流传。有站长社区的白帽黑客验证发现,小米数据库中约有114万账户可被黑客成功入侵。
针对数据泄露事件,小米公司官方微博回应称,部分2012年8月前注册的论坛账号信息被非法获取,由于数据库对用户密码采用了加密措施(独立Salt单向哈希值),受到影响的用户账号有限。但小米并未透露受影响账号的真实数量。
不过对于设置简单的密码来说,独立Salt单向哈希值也很容易被黑客破解。在国内一个站长交流群,名为“打个酱油”的白帽子实测验证,他从网上下载了黑客公布的小米论坛用户数据,并随机抽取30条数据进行破解,发现其中有21条数据可以还原出密码明文,破解成功率达到70%。
图:白帽子测试小米用户数据库的有效性
不过,白帽子也测试发现,只有用户名和小米自动生成的邮箱无法直接登录小米账号,必须使用用户自己填写的邮箱才可以登录。经过统计,网传的小米数据库中,有217万条记录填写了注册邮箱。如果按照70%的破解比率推算,共计约151.9万用户账号可能被黑客成功登录,账号关联的通讯录、短信、照片、GPS地理位置等数据备份存在被盗风险。
记者采访360网站安全检测平台获悉,网站数据库泄漏的主要原因是网站有漏洞,国内流行的各大建站系统更是频繁曝出漏洞。为此360推出库带计划,悬赏白帽子提交漏洞,光2013年就收到1596个有效漏洞,帮助178个厂商修复了漏洞。除了及时修复漏洞以外,广大站长还可以为网站配置免费的360网站卫士,能够有效防范黑客攻击。
360安全工程师提醒小米论坛用户,最好尽快修改小米账号的密码,以免账号关联的个人信息被黑客盗取。此外,由于小米泄漏的数据库中还带有用户姓名、电话等资料,相关用户应高度警惕假冒小米客服名义的电话或邮件诈骗。
赞赏
看原图
赞赏
雪币:
留言: