小米官方網站發出聲明,指小米用戶論壇「小米社區」上出現安全漏洞,小米社區估計約有800萬個使用者受害,包括使用者的名稱、密碼等個人資料,小米社區表示,被害者均為2012年8月之前註冊的使用者。
下為論壇公告全文:
尊敬的小米用戶:
2014年5月13日,我們接獲部分早期小米論壇賬號信息可能泄露的消息,第一時間進行了全面安全檢查。
經查,確有部分2012年8月前注冊的論壇賬號信息被非法獲取。
對此次事件給用戶帶來的困擾,我們深表歉意。
這部分賬號信息此前進行了嚴格加密(獨立Salt單向哈希值),且不少用戶近年已修改密碼,實際可能存在風險的只有其中一小部分。截止公告前,我們尚未發現可見的流量異動以及投訴報告。
經確認,2012年8月後注冊小米賬號的用戶在本次事件中完全不受影響;對在此之前注冊小米論壇賬號,且在2012年8月後未修改過密碼的用戶,出於安全考慮,我們將通過短信、郵件等方式提示其盡快修改密碼。對於前述可能存在風險的小部分賬號,我們會要求其立即修改密碼,修改密碼方式https://account.xiaomi.com 。
在創業初期,我們的論壇及依附論壇產生的賬號體系都使用了第三方開源程序。2012年8月,基於安全考慮,舊論壇賬號體系不再使用,小米將所有服務(包括小米雲服務、米幣等)切換到全新的賬號安全體系,采用業界最新安全實踐方案,對所有存儲數據均進行了最嚴格的安全加密。
用戶賬號和隱私安全是小米極其重視的頭等大事,我們一直對此持最謹慎態度,不遺余力地提升安全保障措施,包括異地登錄預警、安全令牌登錄等。用戶登錄使用重要服務(米幣中心、小米雲服務等)時,還會在手機端得到安全提示推送。
我們將密切關注此次安全事件動態和用戶反饋,持續跟進並及時通報。
小米安全中心
2014年5月14日
原文連結:http://bbs.xiaomi.cn/thread-9772370-1-1.html
