黑客眼里的小米拖库:使用开源程序风险高

鞭牛士  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
本来今天要讲脑残群体的崛起,但是无奈发生了小米事件,只好把文章拖到下一篇了, 实在是抱歉。

 

昨天微博上泄露了小米被拖库的证据,其实这一切在安全圈来看并不是一件很意外的事。 Discuz! 虽然近两年修复了很多问题,但是依然会有少量0day被黑客持有,小米虽然把下方的powered by discuz给去掉了,但是依然是在跑discuz!程序(虽然开源但是这样去掉logo且未付钱应该有侵权的嫌疑,不过小米连openWRT的厂家定制钱都没给,跟这个公司谈节操是没有意义的), 既然是用开源的,少不了被贼盯上,一个劲挖漏想必入侵起来也不是很困难的事情。

 

昨天我转发微博的时候说错了一点,就是小米数据库还是有简单加密的,甚至有盐,但是这个是可以用一些计算方法跑出明文密码的,技术含量并不高,绝大多数用户都可以破。 整个库包含了800多万注册用户,那么这些用户最大的损失是什么呢? 有人认为不过是小米的账号又不会有直接现金损失,有什么关系。 实际上既然爆你库,自然是有一整条利益链的,黑产业者一定是可以想到办法赚钱的。

 

比如说,黑产可以玩电话诈骗,冒充小米的销售或者客服,跟你核对你的隐私信息从而骗取你的信任,之后就从事各式各样的诈骗活动,包括给你寄到付的快递,或者是让你去钓鱼网站付款等等。 另一批专业撞号的黑产业者则会用你的登录信息去撞其他网站的号,盗取更多账号,扩大间接损失。

 

至于应对的办法,所有在小米有注册过账号的用户,首先去更改密码, 其次如果你用同样的登录信息登陆过其他网站,那么第一时间去这些网站更改密码,以后为了避免这样的意外,尽量在第三方网站上不要输入常用密码, 使用不同的密码登陆不同的网站, 甚至可以用不同的结构, 比如说 yb20sina14 , yb好比是你名字缩写, sina就是微博的密码, 20和14拆开来。 注册百度就用 yb20baidu14 这样, 虽然没有用密码管理器安全,但是至少有较高的安全性不容易被批量撞号撞出来。

随意打赏

提交建议
微信扫一扫,分享给好友吧。