“小米连曝两漏洞 可致客户资料泄露”

本篇文章772字，读完约2分钟

经记者赵娜从北京出发

昨天( 5月14日，乌云漏洞报告平台(以下简称乌云) )陆续披露了小米相关的两个漏洞，漏洞类型均表示客户资料可能大量流失。 目前，小米政府已确认了上述漏洞，并证实截至2009年8月已注册论坛账户的部分新闻是非法获取的。

昨天晚上，《每日经济信息》记者从接近小米的相关人士那里获悉，上述漏洞都是去年8月前小米论坛和账户体系采用第三方开源计划造成的。 相关顾客的新闻都留有非明文密码，都是加密的，很难破解。

据黑云称，小米的客户数据库流在网盘上，坚持封禁，但有人完成了下载。 漏洞报告员提供的副本显示，泄露的新闻包括客户姓名、密码、注册邮箱地址、ip、密码盐( salt )等。

昨天上午，小米安全中心在小米论坛上发布了“致小米社区客户:小米社区账户新闻安全防范公告”的贴子。 小米确实证实了8月前注册的留言板上的部分账户新闻被非法获取，但该账户新闻的一部分以前已经被严格加密，而且很多顾客近年来更改了密码，实际上存在风险的只是其中的一部分 据小米称，截至公告前，没有发现可见的流量交易和投诉报告。

记者注意到，小米发布上述公告前后，另一个“小米科技某安全漏洞影响88w+360w数据”的漏洞于当天10点23分被暗地提交，到了昨天下午，厂商的回答栏显示:“这个漏洞就是小米安全。

最近有顾客新闻泄露的例子。 3月，座位旅行网被曝光了银行卡支付环节的消息。 另外，在今年的3·15派对上，也明确了QR码支付的安全漏洞。

此次小米表示，对于小部分有风险的账户，要求客户立即更改密码，但只更改密码显然不足以让客户“放心”。

乌云表示，小米账户比较特殊，一旦密码被破解，可能会影响客户的数据备份，通讯记录、邮件、照片甚至gps位置等新闻都会受到波及。 云认为所有安全的核心都是数据，既然移动数据在云上，那么移动端的安全点也在云上。