小米

昨天微博上泄露了小米被拖库的证据,其实这一切在安全圈来看并不是一件很意外的事。 Discuz! 虽然近两年修复了很多问题,但是依然会有少量0day被黑客持有,小米虽然把下方的powered by discuz给去掉了,但是依然是在跑discuz!程序(虽然开源但是这样去掉logo且未付钱应该有侵权的嫌疑,不过小米连openWRT的厂家定制钱都没给,跟这个公司谈节操是没有意义的), 既然是用开源的,少不了被贼盯上,一个劲挖漏想必入侵起来也不是很困难的事情。

据了解,目前信息数据库已经在网盘中流传,虽然一再封杀但已经有人下载。漏洞报告者提供的信息称,泄露数据中包含用户名、密码、邮箱、注册 IP 以及密码盐(salt)等信息,数据量与微博消息基本属实。

此外,由于小米账户的云特性,如果账号密码被破解,很可能影响到用户的个人数据备份,比如通讯录、短信、照片、GPS 位置信息甚至远程擦除手机数据(格式化),安全起见,小米论坛用户务必先修改密码。

小米数据库是有简单加密的,甚至有盐,但是这个是可以用一些计算方法跑出明文密码的,技术含量并不高,绝大多数用户都可以破。 整个库包含了800多万注册用户,那么这些用户最大的损失是什么呢? 有人认为不过是小米的账号又不会有直接现金损失,有什么关系。 实际上既然爆你库,自然是有一整条利益链的,黑产业者一定是可以想到办法赚钱的。

比如说,黑产可以玩电话诈骗,冒充小米的销售或者客服,跟你核对你的隐私信息从而骗取你的信任,之后就从事各式各样的诈骗活动,包括给你寄到付的快递,或者是让你去钓鱼网站付款等等。 另一批专业撞号的黑产业者则会用你的登录信息去撞其他网站的号,盗取更多账号,扩大间接损失。

这个事件还有一个巨大的影响在云,不在数据的新旧,比如目前看到的流传的危害截图(用户数据被同步到云) 。

比如信用卡号、姓名、有效期、CVV2 全部泄漏,手机使用者知道么?

还有手机的照片是可以同步到云端的,一些隐私的照片可能会泄漏。

至于应对的办法,所有在小米有注册过账号的用户,首先去更改密码, 其次如果你用同样的登录信息登陆过其他网站,那么第一时间去这些网站更改密码,以后为了避免这样的意外,尽量在第三方网站上不要输入常用密码, 使用不同的密码登陆不同的网站, 甚至可以用不同的结构, 比如说 yb20sina14 , yb好比是你名字缩写, sina就是微博的密码, 20和14拆开来。 注册百度就用 yb20baidu14 这样, 虽然没有用密码管理器安全,但是至少有较高的安全性不容易被批量撞号撞出来。