小米论坛800万信息被拖库 大量用户密码被盗

5月14日凌晨，有网友向正在内测中的瑞星漏洞平台提交了一份数据库样本，内容显示，该数据存放的是小米官方论坛2012年左右约800万用户账户信息。瑞星安全专家指出，本次拖库事件泄露的小米用户信息包括用户的账户密码、邮箱和相关IP地址，同时，由于小米账户可以互通关联，用户的通讯录、短信、照片、GPS定位信息等个人数据备份信息会也可以被黑客复制、曝光。瑞星安全专家提醒广大小米用户，应尽快修改自己的账号密码，并进行相关安全设置，避免个人信息和网络财产受损。

据了解，5月13日晚间有网民在微博上爆料称疑似小米手机坛的用户数据库在黑客界传播，大概800万数据。此前，小米论坛已经出现大量网友投诉自己因在小米网站的购物信息被泄露而遭遇诈骗。目前，瑞星客服已收不少网友反馈表示自己的小米账号被盗，登录小米官网ID时被要求立刻修改密码。

图1：网友在小米论坛投诉个人信息被泄露遭遇诈骗

图2：网友的小米ID因盗号被冻结

瑞星安全专家提醒，此次本拖库的数据文件大小约为500MB，存放的是小米论坛2012年前后注册的用户信息，经过部分验证，确实存在大量真实的米粉信息。数据库中存储的用户信息主要为用户名、通过MD5加密的密码、邮箱和用户相关IP地址等。但由于小米账号存在关联互通，且大量用户在网上经常使用同样的账号密码，所以一旦这些数据被黑客获取，很有可能进行与其他账户的匹配测试，给用户带来严重的安全风险。

图3：网民提交的小米论坛用户信息数据库

目前，小米公司已经向用户发出通知，要求2012年8月前注册的用户及时更改用户名和密码。在此，瑞星提醒广大网民，要及时更改自己常用的账号密码，并要养成定期更改密码的习惯，在有条件的情况下，建议每月更改一次。另外，不要在网上使用统一的账号密码，这样一旦出现安全风险，网民受到的损失可能是成倍递增的。广大网民和网站维护人员应定期检查网站安全性并关注安全厂商发布的安全公告，不断提升自身的防护水平。针对此次事件的更多详情，瑞星漏洞平台内测版将不断关注并公布。

附：瑞星漏洞平台是瑞星公司基于多年的信息安全技术与经验积累开发的一套互联网安全漏洞开放平台。该平台面向所有网民、企业、政府公开，网民可以提交互联网中存在的最新漏洞信息，瑞星公司在收到用户提交的信息后，通过验证并与相关方面通告核实，会在第一时间向网民进行公开，并对第一提交贡献者进行奖励。目前，该平台基础功能已经实现，正在进行内部测试，近期会与大家正式见面。