原文链接:http://www.2cto.com/News/201405/300912.html

    小米论坛曝出重大数据泄露事故，近830万条用户密码在网上公开流传。有站长社区的白帽黑客验证发现，小米数据库中约有114万账户可被黑客成功入侵。

    针对数据泄露事件，小米公司官方微博回应称，部分2012年8月前注册的论坛账号信息被非法获取，由于数据库对用户密码采用了加密措施（独立Salt单向哈希值），受到影响的用户账号有限。但小米并未透露受影响账号的真实数量。

    不过对于设置简单的密码来说，独立Salt单向哈希值也很容易被黑客破解。在国内一个站长交流群，名为“打个酱油”的白帽子实测验证，他从网上下载了黑客公布的小米论坛用户数据，并随机抽取30条数据进行破解，发现其中有21条数据可以还原出密码明文，破解成功率达到70%。
     

    图：白帽子测试小米用户数据库的有效性

    不过，白帽子也测试发现，只有用户名和小米自动生成的邮箱无法直接登录小米账号，必须使用用户自己填写的邮箱才可以登录。经过统计，网传的小米数据库中，有217万条记录填写了注册邮箱。如果按照70%的破解比率推算，共计约151.9万用户账号可能被黑客成功登录，账号关联的通讯录、短信、照片、GPS地理位置等数据备份存在被盗风险。

    记者采访360网站安全检测平台获悉，网站数据库泄漏的主要原因是网站有漏洞，国内流行的各大建站系统更是频繁曝出漏洞。为此360推出库带计划，悬赏白帽子提交漏洞，光2013年就收到1596个有效漏洞，帮助178个厂商修复了漏洞。除了及时修复漏洞以外，广大站长还可以为网站配置免费的360网站卫士，能够有效防范黑客攻击。

    360安全工程师提醒小米论坛用户，最好尽快修改小米账号的密码，以免账号关联的个人信息被黑客盗取。此外，由于小米泄漏的数据库中还带有用户姓名、电话等资料，相关用户应高度警惕假冒小米客服名义的电话或邮件诈骗。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课