在描述漏洞时,发布者“路人甲”表示,此前在微博上看到有人说小米数据库泄露,“以为是"撞库"(并非网站自身数据库泄露,而是黑客使用其他网站数据尝试登录生成的数据),后来却在群里得到证实,自己就是个受害者”。由于小米论坛的账户信息多和小米云、小米相册等产品相互关联,使得论坛账号信息泄露的用户范围一下子扩至800万之多。
一旦密码泄露,很可能危及这些用户的个人数据备份,例如通讯录、短信、照片、位置信息等。
“接了个内容听起来不靠谱的通知中奖电话,居然能说出我在小米上的购物记录!”网友“wangwei”13日晚间在小米论坛上发帖。电话那头,对方能把他的购物信息一五一十说出来,又让他对于是否中奖有些半信半疑。帖子下方,小米客服回应称并未组织过此类活动。更有不少用户反映,最近接到过类似电话。
昨天下午,小米回应称,“经查,确有部分2012年8月前注册的论坛账号信息被非法获取。”在创业初期,小米论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月,基于安全考虑,旧论坛账号体系不再使用,小米将所有服务切换到全新的账号安全体系,采用业界最新安全实践方案,对所有存储数据均进行了最严格的安全加密。
小米方面表示,2012年8月后注册小米账号的用户在本次事件中完全不受影响;对在此之前注册小米论坛账号,且在2012年8月后未修改过密码的用户,小米将通过短信、邮件等方式提示其尽快修改密码。