黑客眼里的小米拖库：使用开源程序风险高

昨天微博上泄露了小米被拖库的证据，其实这一切在安全圈来看并不是一件很意外的事。 Discuz! 虽然近两年修复了很多问题，但是依然会有少量0day被黑客持有，小米虽然把下方的powered by discuz给去掉了，但是依然是在跑discuz!程序（虽然开源但是这样去掉logo且未付钱应该有侵权的嫌疑，不过小米连openWRT的厂家定制钱都没给，跟这个公司谈节操是没有意义的）， 既然是用开源的，少不了被贼盯上，一个劲挖漏想必入侵起来也不是很困难的事情。

昨天我转发微博的时候说错了一点，就是小米数据库还是有简单加密的，甚至有盐，但是这个是可以用一些计算方法跑出明文密码的，技术含量并不高，绝大多数用户都可以破。 整个库包含了800多万注册用户，那么这些用户最大的损失是什么呢？ 有人认为不过是小米的账号又不会有直接现金损失，有什么关系。 实际上既然爆你库，自然是有一整条利益链的，黑产业者一定是可以想到办法赚钱的。

比如说，黑产可以玩电话诈骗，冒充小米的销售或者客服，跟你核对你的隐私信息从而骗取你的信任，之后就从事各式各样的诈骗活动，包括给你寄到付的快递，或者是让你去钓鱼网站付款等等。 另一批专业撞号的黑产业者则会用你的登录信息去撞其他网站的号，盗取更多账号，扩大间接损失。

至于应对的办法，所有在小米有注册过账号的用户，首先去更改密码， 其次如果你用同样的登录信息登陆过其他网站，那么第一时间去这些网站更改密码，以后为了避免这样的意外，尽量在第三方网站上不要输入常用密码， 使用不同的密码登陆不同的网站， 甚至可以用不同的结构， 比如说 yb20sina14 ， yb好比是你名字缩写， sina就是微博的密码， 20和14拆开来。 注册百度就用 yb20baidu14 这样， 虽然没有用密码管理器安全，但是至少有较高的安全性不容易被批量撞号撞出来。