13日晚间,有微博爆料称小米论坛用户数据库疑似泄露,涉及用户约800万。经乌云漏洞报告平台证实,小米数据库已在网上公开传播下载,与小米官方数据吻合。而5月14日,继早先有用户爆出小米论坛存在漏洞导致部分数据泄露后,乌云再次曝出小米安全漏洞导致已经有大量用户资料被泄露。百度安全专家分析称,此次遭泄露的应该是2012年左右小米论坛的注册用户,同时提醒小米用户尽快修改密码,注意防范近期假冒小米客服等名义的电话或邮件诈骗。
漏洞爆出后,小米官方证实了这一情况的存在。小米官方称,小米官方发现确有部分2012年8月前注册的论坛账号信息被非法窃取。经确认,只有2012年8月前注册、且2012年8月后未修改密码的小米账号,存在被泄露的风险。
关于泄露的途径,百度安全专家认为有多种,可能是网站有漏洞、服务器被黑客入侵,“内鬼”泄密等,也有可能并非网站自身数据库泄露。由于此次泄露的数据中,带有大量用户资料,其中包括用户注册时所用的用户名、密码、注册IP、邮箱和电话号码等。虽然密码数据采用了一定的保护措施,但从目前网络流传的小米数据库判断,黑客破解这些密码的约为70%-80%,这就意味着,大部分造泄露的用户将会在短时间内被盗取密码。黑客利用这些信息,将很轻松地进入小米云服务器,从而用来获取更多的隐私信息,因此百度安全专家认为,此次用户可能泄露的信息可能远不止一点注册信息那么简单,它同时将包括用户手机中的通讯录、短信、照片、定位、锁定手机及删除信息等。
据悉,自信息泄露后,目前,已有不少小米用户反馈称接到01053799231、02160544527等来电。这些来电可提供准确小米用户的个人信息,如:姓名、地址、电话、购买记录等,以货到付款的方式进行诈骗。甚至有网友提供了录音作为被诈骗的证据。
因此,百度安全专家提醒各位小米及MIUI等用户应尽快修改小米云服务的账号及密码,避免通讯录等隐私信息再遭泄露。对于已经接到此类这类诈骗电话及短信的用户,百度安全专家建议,应立即将诈骗电话拦黑,并通过短信等形式提醒周围的朋友注意。
为防止类似的情况继续发生,百度安全专家给出几点建议:
一是要定期修改密码,一个密码长期使用,很容易被不法分子盗取并破解;
二是设置的密码一定要强,尽量做到大小写字母、数字和特殊字符混杂;
三是不要在所有的网络服务中都使用一个账户和密码,有些朋友为了省事、易记,往往在不同的网络服务中使用一个ID和密码,这样,黑客盗取用户的一个账户和密码后,很容易用尝试的方法,进入其他服务盗取相应信息;
四是不接听来源不明的电话、短信,特别是当其中牵涉到网购和网银等敏感信息时,一定要引起自己的警觉。