1月4日晚間,ID為“網(wǎng)路游俠”的網(wǎng)友在其個(gè)人博客公開新浪愛問的一個(gè)SQL注入漏洞。
網(wǎng)友以臺(tái)灣魔術(shù)師劉謙新浪微博為例,“圖文并茂”地一步步演示了如何通過新浪愛問數(shù)據(jù)庫漏洞進(jìn)而成功獲取劉謙新浪微博賬號(hào)密碼,并嘗試登錄成功的全過程。當(dāng)劉謙本人稍后了解到此情況后,更是在其新浪微博稱“太恐怖”“秘密都被看光了”引發(fā)新浪網(wǎng)友數(shù)百條熱議。眾多網(wǎng)友批評新浪的做法太不負(fù)責(zé)。
來自著名安全廠商的瑞星安全專家分析指出:此事件曝出擁有如此眾多用戶數(shù)量的大型社交網(wǎng)站也在使用明文密碼,只要網(wǎng)站自行對數(shù)據(jù)庫信息加密,及時(shí)造“拖庫” 也不至于如此輕易泄露相關(guān)數(shù)據(jù)。而所謂SOL注入漏洞,只是黑客慣常使用的多種入侵手段之一,只要網(wǎng)站開發(fā)人員加以注意,也是完全可以提早避免的。
據(jù)該網(wǎng)友“網(wǎng)路游俠”進(jìn)一步透露:他在公開此漏洞前已向新浪官方通報(bào)過此漏洞,新浪官方雖未出面致謝,但已悄然彌補(bǔ)了此漏洞。
有媒體指出,此前曾有傳聞新浪微博密碼恐遭泄露,隨即遭到新浪官方公開否認(rèn),余音未了,劉謙新浪微博密碼便繞道新浪愛問遭泄露,前后兩件事相與疊加,新浪官方遭遇安全質(zhì)疑后的表態(tài)便更加耐人尋味。
1月5日,新浪愛問官方回應(yīng)稱此次事件實(shí)際受到影響的用戶數(shù)字僅30萬,而非此前外界傳聞的7000萬。瑞星安全專家指出,安全業(yè)界關(guān)注此事并非單純因?yàn)樾吕擞脩魯?shù)眾多,披露此安全事件也并非針對某網(wǎng)站,而是希望正確提示用戶認(rèn)識(shí)到自身面臨的安全風(fēng)險(xiǎn),及時(shí)修改重要密碼。
不過對于信息泄漏的具體情況,新浪方面目前尚沒有明確的回復(fù),事件還在調(diào)查中。
瑞星安全專家提醒,當(dāng)用戶使用大型社交類網(wǎng)站,尤其是日常經(jīng)常登錄的幾個(gè)網(wǎng)站時(shí),更應(yīng)注意區(qū)別設(shè)置不同密碼,分散安全風(fēng)險(xiǎn)。如在常用網(wǎng)銀、常用電子信箱、常用微博賬戶,分別設(shè)置不同密碼,并養(yǎng)成設(shè)置較長較復(fù)雜的數(shù)字字母混合密碼,及定期更換個(gè)人密碼的良好習(xí)慣。
推薦閱讀
這也意味著盛大嘗試電商業(yè)務(wù)不到1年時(shí)間就遭遇重挫,而僅僅一個(gè)月內(nèi),包括奢侈品網(wǎng)站呼哈網(wǎng)、網(wǎng)易尚品、電商網(wǎng)站品聚網(wǎng)的接連倒閉或許意味著電商倒閉潮的到來。 1月7日消息,盛大旗下電商網(wǎng)站品聚網(wǎng)即將關(guān)閉。品聚網(wǎng)>>>詳細(xì)閱讀
本文標(biāo)題:瑞星安全專家提醒:新浪微博用戶提放信息外泄
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/169891.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報(bào)
品牌展示