小米论坛用户数据泄露可能已被转卖利用

雷锋网 • 10年前扫码分享

我是创始人李岩：很抱歉！给自己产品做个广告，点击进来看看。

昨晚半夜十二点多乌云网公布了一个编号为WooYun-2014-60627的安全漏洞，根据这个漏洞的描述，小米论坛的用户信息遭到泄露。甚至在这个漏洞下面的评论有人说，据说之前很多网友都收到了大量的诈骗电话，电话源头能提供用户的准确信息，姓名，地址，电话，商品购买记录等等，以货到付款的方式进行产品推销及其他诈骗行为。

同时，乌云网也很快在官方微博公布说已将最新的用户报告提交给了小米科技官方，指明官方数据确实遭受了泄露事故，影响800w左右论坛注册用户，请小米论坛用户赶紧修改密码。

小米科技作为一家快速成长的手机厂商，本身就备受关注。而由于其粉丝经济的发展策略，论坛是小米科技非常重视的社区产品。这次的用户信息泄露涉及数百万小米论坛用户，更是受到业界极大的关注。小米的反应速度也不慢，在今天早上作出回应。

小米在回应公告中表示，2012年8月后注册小米账号的用户在本次事件中完全不受影响，对在此之前注册小米论坛账号，且在2012年8月后未修改过密码的用户，出于安全考虑，小米科技将通过短信、邮件等方式提示其尽快修改密码。

另外，小米科技还在公告中表示：在创业初期，我们的论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月，基于安全考虑，旧论坛账号体系不再使用，小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系，采用业界最新安全实践方案，对所有存储数据均进行了最严格的安全加密。

如此说来，小米科技似乎是说这次用户信息泄露的数据都是2012年8月之前使用第三方开源程序建立账号体系时候的数据。笔者就此事件分别咨询了安天实验室的安全专家Billy和乌云的相关人士。Billy 倒是比较直接，认为这其实就是和CSDN当时的信息泄露是差不多的情况，基本上也是从旧系统向新系统的转移后旧有系统的备份被拖库，所以泄露的是旧系统里的数据，对小米来说，当然也就是还在使用第三方开源系统的时候的数据。CSDN当时的用户数据泄露也是把旧系统的数据迁移到新系统之后旧系统的备份数据被直接拖库了。

不过，随后乌云的相关人士跟笔者表示事情可能真不是泄露那么简单。小米的公告中有点把责任推给第三方开源程序的意思，此相关人士表示第三方开源程序的特点就是人人都拿的到看得到程序里面逻辑，但不能说开源或闭源就不安全。这其实还是自身的安全意识不足够，而且这还是互联网公司的通病。这从当时CSDN信息泄露之后引出的一大票互联网公司信息泄露是同样的道理。

此外，乌云相关人士表示，这甚至可能是黑色产业链拖数据，利用完之后才泄漏出来的。对于企业来讲其实数据是非常重要的，对于一些不法分子或商业竞争对手都有着巨大的商业价值，例如小米这次泄露的信息就涉及订单信息，商务信息和用户信息，这些信息都是存在企业IT架构的数据库中，拖库就是利用各种技术手段甚至内部配合方式将数据库非法获取。泄露的数据库会经过层层利用与售卖，到最后买家多了，可能就难以保证数据库不被人泄漏了。一般来说拖库的人跟最后洗库的人不是一波人，拖库的人卖库，越卖越乱，最终总有不靠谱的买家给漏出来。