如何看待小米論壇被拖庫？

11-16

網爆小米800w用戶信息泄露。網友親測泄露的數據可進入小米賬戶，通過小米雲服務可得到手機號及設備信息。通過同步可獲得通訊錄，簡訊，照片，便簽。並可在線定位，發警報，鎖定手機，及擦除信息等操作。大部分賬號同步使用郵箱，京東，支付寶等。

首先說說我對小米科技的印象：小米對於安全問題的態度有點過於狂妄自大！

2013年10月份在烏雲漏洞報告平台提交了一個關於小米公司非常高危的的漏洞：一次小米未完成的內網滲透測試（僅測試可能性），得到的答覆你們猜怎麼著？無影響廠商忽略。

當時有部分內容未附在測試報告上：
下面的信息可以證明，當時測試能夠連上小米論壇的資料庫，也就是說2013年11月的時候，小米論壇的資料庫還存在被駭客下載的風險（這裡只是證明風險，我並未下載你們的資料庫）。

& array( "dsn" =&> "mysql:dbname=xiaomibbs;host=10.21.1.***", "user" =&> "bbs_api_r", "password" =&> "XOU****_jn****f", ), ); ?&>

稍微懂點技術的人，都能看懂下面的SHELL代碼，這裡可以直接獲取到小米官網和銷售訂單網站的源代碼，訂單涉及哪些用戶隱私？（http://www.xiaomi.com/http://pulse.order.xiaomi.com/）

#!/bin/sh /usr/bin/rsync -aurto --password-file=/etc/rsync.pass www@10.*.2.77::****/* /data/www/www.xiaomi.com/c/ /usr/bin/rsync -aurto --password-file=/etc/rsync.pass www@10.*.2.77::****/* /data/www/pulse.order.xiaomi.com/c/

補充一下第二順位的答案。

小米論壇水軍ID生成演算法比較垃圾啊，名字都是5數字＋3字母，信箱都是3字母＋3數字的組合。順便，就指著這兩個IP 58.68.235.85 58.68.235.84 使勁註冊水軍，註冊的ID號還是連著的，呵呵。水軍的pattern不止這些。

早被脫了

重點不是密碼被盜。。懂嗎？。。。。。地址和聯繫電話加密了嗎？

把我在剛才問題里答的貼過來，因為實在是受不了小米員工所說的風險低。

事實上不應該在泄漏之後再採取措施，應該在此之前，下面我來說說在平時中也就是被拖庫之前我們應該做些什麼。
1.注意設置的密碼，必須高強度，而且最好不一樣，因為大部分網站在儲存你密碼時是進行了不可逆加密的（md5，sha1等），高強度密碼可以增加破解難度。盡量不要使用白痴密碼！比如123456，123之類的最好也不要使用生日+姓名組成的密碼。最好使用隨機生成密碼很多軟體和應用實現了這個，比如花密（flowerpassword 花密 -- 不一樣的密碼管理工具）。
2.養成良好的上網習慣，不要在各個地方留郵箱，求種子什麼的。很容易造成個人信息的泄漏。
3.上網站時請注意觀察域名。qq大部分的網站一定是以*.http://qq.com這樣

下面說說被脫掉資料庫之後我們該做些什麼
1.當你發現新聞，微博以及官方報道中出現了資料庫泄漏的內容。第一步是看官方的內容，看下是從幾月份註冊之前資料庫泄漏，比如這次小米是2012-06-15 14:08 之前的。如果您中槍了…趕緊去修改密碼啊啊啊啊～危害請看這個 @李普君發的分析 · 小米泄露數據密碼破解率高達37.8% - 烏雲君 - 知乎專欄
請絕對不要相信隔壁一條中小米員工的回答！他居然說威脅低！！！
尼瑪，現在出了事，第一個想到的是公關？不是努力的承擔責任？不應該道歉？
@趙剛-零零發說「這次烏雲爆的這個問題，從技術角度上講，確實是「有風險」，我們不可能說它沒風險。但是實際上，從技術角度來講，風險非常有限」對此我還是只想回復他 @李普君發在烏雲君專欄里的分析 · 小米泄露數據密碼破解率高達37.8% - 烏雲君 - 知乎專欄，啪啪啪，打臉
2.發說說，發微博，發朋友圈～當然是擴散給你身邊的人知道～讓他們也去修改密碼。
3.沒有了/可能會補充。

手機碼字不容易～給個贊吧～

這個漏洞應該是追溯到當年inc.php uc-key的備份拿到許可權。被人下載了資料庫。然後再小米發布會的頭一天在各個社工庫上爆出，我覺得這明顯是有人在做空小米，想想小米的那些競爭對手的出身，真為其捏一把汗。

一，官方公告如下：

尊敬的小米用戶：

2014年5月13日，我們接獲部分早期小米論壇賬號信息可能泄露的消息，第一時間進行了全面安全檢查。

經查，確有部分2012年8月前註冊的論壇賬號信息被非法獲取。

對此次事件給用戶帶來的困擾，我們深表歉意。

這部分賬號信息此前進行了嚴格加密（獨立Salt單向哈希值），且不少用戶近年已修改密碼，實際可能存在風險的只有其中一小部分。截止公告前，我們尚未發現可見的流量異動以及投訴報告。

經確認，2012年8月後註冊小米賬號的用戶在本次事件中完全不受影響；對在此之前註冊小米論壇賬號，且在2012年8月後未修改過密碼的用戶，出於安全考慮，我們將通過簡訊、郵件等方式提示其儘快修改密碼。對於前述可能存在風險的小部分賬號，我們會要求其立即修改密碼。

在創業初期，我們的論壇及依附論壇產生的賬號體系都使用了第三方開源程序。2012年8月，基於安全考慮，舊論壇賬號體系不再使用，小米將所有服務（包括小米雲服務、米幣等）切換到全新的賬號安全體系，採用業界最新安全實踐方案，對所有存儲數據均進行了最嚴格的安全加密。

用戶賬號和隱私安全是小米極其重視的頭等大事，我們一直對此持最謹慎態度，不遺餘力地提升安全保障措施，包括異地登錄預警、安全令牌登錄等。用戶登錄使用重要服務（米幣中心、小米雲服務等）時，還會在手機端得到安全提示推送。

我們將密切關注此次安全事件動態和用戶反饋，持續跟進並及時通報。

小米安全中心

2014年5月14日

二，個人的一點說明（本人非技術專家，如果下面有描述不夠精確的地方還請知乎各位大神幫忙指正）：

我再解釋一下，只是說給群里的諸君，不代表官方公關辭令：這次烏雲爆的這個問題，從技術角度上講，確實是「有風險」，我們不可能說它沒風險。但是實際上，從技術角度來講，風險非常有限。但是這麼對公眾解釋估計是解釋不清楚的，但是我希望至少你們能夠了解。小米帳號系統在升級到小米passport之後，本身就強制要求大家修改過一次密碼。之前的小米社區帳號系統是可以使用簡單密碼的，後來必須強制到有大小寫字母和數字組合的密碼。我的密碼就是那個時候更改的。可以說，經歷過這一步的用戶，應該是安全的。

1，這次小米論壇的帳號信息泄露不同於csdn的那次。那次是明文信息，任何普通人脫褲下來都能看到所有信息，風險極大。小米這次被泄露的信息是2012年8月之前的小米論壇帳號信息，所有信息都有獨立加密和加鹽，在理論上，有技術的黑客可以通過一些技術手段破解這些加密信息，但不表示這個破解很容易。

2，這次小米論壇的帳號信息泄露也不同於攜程那次，攜程仍然是明文存儲信息，而且是存儲用戶當前的信用卡信息以及末三碼，那個直接威脅了用戶的財務安全。但是小米論壇在2012年8月僅僅是個論壇而已，而且小米passport在2012年8月啟用後，曾經強制所有用戶將過去的簡單密碼修改成複雜密碼。因此有風險的僅僅是2012年8月前註冊，且隨後至今一直沒有修改過密碼的帳號。

3，這個風險的存在也是，黑客需要對每一個賬戶加密信息進行技術解密，然後再去小米官網驗證是否能登陸（是否修改過密碼），如果改過，他無能為力。如果沒改過，黑客才能去看看這個帳號是否有價值。

我非常，非常，非常，非常的理解大家對於個人信息安全問題的擔心，因此也非常希望能夠儘可能清楚的跟大家解釋明白。希望諸君不要對此事杯弓蛇影。出於對諸位小米用戶的賬戶的安全性的考慮，我們仍然建議用戶修改密碼。

我今天寫了一篇文章，在我的公眾號上，鏈接在這裡……

小米被拖庫，大量密碼泄露。

我感覺小米要是有股票，被這個事件跪掉了一部分市值以後我可以考慮入手了

用DISCUZ這種開源的東西就要有這個覺悟。

只是擔心，小米論壇當年會不會因為考慮效率問題直接用明文做密碼。

另外電話，地址等信息被一窩端了。。。。這個是大坑

這個新聞把問題嚴重化了，一點常識都沒有，就算是被脫庫了你也拿不到密碼好不好，現在的資料庫根本不會保存密碼的明文或者可解密的密文。

下面具體分析一下：
被拖的數據：小米12年啟用統一賬戶體系之前的論壇用戶數據，其中密碼是經過加密的。
被拖原因：應該是之前使用的第三方論壇的漏洞。這個庫應該是早就被拖了，黑客最近終於賣了個好價錢，來製造這個新聞。。
風險：對於大部分人來說風險在於手機和郵箱的泄露，給廣告推銷可乘之機。
對於某些密碼過於簡單的用戶，像123456這種，你的密碼有被暴力破解的風險。
用戶數據都是12年之前的。

當然是因為用的Discuz啊

國內就沒安全的論壇，好吧其實基於discuz架構基礎上改了很多結構層的社區本身也有很多問題。被脫庫很正常，權當讓大家知道點安全知識。大家就別驚訝了。

庫我也見過，排第一的匿名用戶不知道怎麼得出來的水軍300萬這個值。。。
這批數據價值沒有想像中那麼有效，年代比較久遠，欄位不多，密碼加鹽了，破解需要一定成本。

ps：聽到小米被脫褲的時候，我第一時間想看看被泄露的是我哪個密碼。
但是！
我忘記了小米的用戶名。
用我所有曾經用過的用戶名去查庫，都沒有匹配到。⊙﹏⊙

淡淡的

互聯網本就沒有真正的信息安全。用戶的信息終究是存在資料庫，只要能人為的訪問，不管訪問的是不是DBA，信息終究是看得到的。我們永遠也不會知道資料庫會不會被黑掉，或者會不會有沒良心的公司或員工把這些信息拿去賣掉。畢竟在大數據時代，用戶信息還是很值錢的。
反正就是，信息不是在你自己手裡，總是不安全的。

這次不算嚴重。影響可以忽略不計。
因為黑市上有超過20億條數據在流傳，2011年末泄露那些只是被「洗過」的一小部分。

1.總會有0day被挖出並賣到黑市。（常識）
2.互聯網基礎設施存在漏洞。（例：城域網cache投毒攻擊）
3.互聯網基礎通信協議普遍存在安全缺陷。（例：smtp偽造發信人、ip欺騙、dns投毒）
4.數據是死的，但人是活的。總會有人接觸到你的數據。甚至包括服務提供方以外的人。如果網站運行在虛擬主機、VPS或各種雲上，母平台的人就可以輕鬆看到你所有數據。那獨立伺服器呢，在很多時候，會被有關部門要求提供最高許可權密碼。
5.即便能接觸數據的人不會賣掉你的數據，他也有可能被黑客社工釣魚。

所以任何網站都有被入侵和數據泄露的可能。
你要做的，就是別對網路安全和隱私保護抱有社么希望。

我還是更好奇是如何通過已經被hash過的密碼進入小米賬戶從何獲得其他信息的……
或者是整個小米服務庫都被拖了？

另外企業越大，對用戶數據安全的責任也越大，尤其一個快速成長的企業，初期可能對安全並不是很重視。

我還是先去修改密碼了……

話說回來，網路安全這玩意，曝光一些你知道一些，不曝光你也不知道，究竟有多少資料已經被拖？比如小米是否最新的網站是否存有漏洞已經被人非法獲取最新的信息？不得而知啊～

結尾……
不知道會不會有出過類似安全事故的企業員工，忘記自己企業的安全事故來嘲笑小米呢……

小米手機早不用了。。。剛登陸發現賬號裡面的通訊錄簡訊通話記錄照片都在通話記錄目前刪不能批量刪！！！

其實我更想的是怎麼把我的賬號從小米網刪掉！！！

知乎的賬號和密碼和小米的一模一樣，還有一些網站也是這個，貌似京東也是這個，得去修改下密碼，雖然我的隱私不值錢，還是去修改下比較好