近日,一些小米论坛用户接到电话 ,被告知“中奖了”,用户的姓名、手机号码、详细住址,对方都“门儿清”。就在大家纳闷,骗子如何获取个人信息的时候,乌云网于5月13日晚公布信息,称小米论坛存在用户资料泄露的情况。随后小米官方回应,2012年8月前注册的部分论坛账号信息被非法获取,对此深表歉意,并提醒及时修改密码。记者注册账号发现,使用论坛账号信息可以登录小米云,账户信息的泄露直接威胁到资料的安全。
1
论坛用户频频接到诈骗电话
5月14日凌晨0时13分,网络漏洞报告平台乌云网公布小米论坛漏洞 ,标题提到“可能影响小米移动云等敏感信息”,漏洞类型为“用户资料大量泄露”,危害等级高。凌晨1时08分,“乌云-漏洞报告平台”发布微博,称小米数据库泄露事件有最新进展:“乌云君已将最新用户报告提交给官方,结果指明官方数据确实遭受了泄露,影响 800w左右论坛注册用户,请大家及时修改密码,避免影响到小米云导致手机敏感信息泄露!”
在有关漏洞的评论中,多名网友称曾接到诈骗电话,电话源头能提供用户的准确信息,以货到付款的方式进行产品推销及其他诈骗行为。“对方直呼我的名字,说是小米官网返利,能说清我在小米官网的购买记录,称为答谢我要送三样礼物,有高端机械表、3D眼镜、小米商城永久7折购买优惠资格。”一名网友称,对方表示只要花300多元运费就能收到礼物,收货后还会返还400元话费,“打电话骚扰无所谓,关键问题是信息泄露了。”这些网友怀疑,他们的信息泄露与乌云网公布的漏洞有关联。
2
2012年8月前用第三方程序
14日上午,小米公司在小米社区发布信息安全防范公告,表示在5月13日截获部分早期小米论坛账号信息可能泄露的消息,第一时间进行了全面安全检查,“确有部分2012年8月前注册的论坛账号信息被非法获取,对此次事件给用户带来的困扰,我们深表歉意。”
公告中表示,这部分账号信息此前进行了严格加密,且不少用户近年已修改密码,实际存在风险的只有其中一小部分。经确认,2012年8月后注册小米账号的用户在本次事件中不受影响 ;在此之前注册小米论坛账号,且在2012年8月后未修改过密码的用户,将通过短信、邮件等方式提示其尽快修改密码。
原来,在创业初期,小米论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月,基于安全考虑,旧论坛账号体系不再使用,小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,对所有存储数据均进行了最严格的安全加密。“我们将密切关注此次安全事件动态和用户反馈,持续跟进并及时通报。”
3
信息泄露可致通讯录失窃
就在小米公司发布安全防范公告后,有网友发微博称,这些“ 泄露的数据可进入小米账户,通过小米云服务可得到手机号及设备信息。通过同步可获得通讯录、短信、照片、便签。并可在线定位、发警报、锁定手机、及擦除信息等操作。”
记者就此进行了测试,在小米社区注册用户后,用账号密码登录,可看到设置的个人资料中,有真实姓名、手机号码、邮寄地址、QQ号、邮箱号码等信息,如果用户填写完整,这些信息在社区账号及密码泄露后,均能被人看到。
使用小米社区的账号及密码,同样可以登录小米云,如果用户开通云同步服务,可查到手机中的通讯录、短信内容、照片、便签等信息,甚至像网友所说,都可以进行查找手机的操作。
14日下午,记者拨打了小米客服电话,客服人员表示,泄露的信息除了账号资料,还包括论坛用户之前在小米官网商城的网购记录,这些信息最终可能会被用来制造骗局,打着小米公司的旗号进行诈骗活动。半岛网-半岛都市报
中国潮人怎么玩游艇
