[情報] 小米網站發現嚴重漏洞數百萬帳號遭盜取 - K_hot板

看板 MobileComm
作者 ousapas (komica123)
標題 [情報] 小米網站發現嚴重漏洞數百萬帳號遭盜取
時間 Fri Oct 31 05:22:07 2014

來源:
https://plus.google.com/118062628172252352420/posts/jRgfdbPowLb
http://thehackernews.com/2014/10/xiaomi-data-breach-hacker.html

Xiaomi Data Breach — "Exposing Xiaomi" Talk Pulled from Hacking Conference

心得:

台灣的獨立資安研究員在印度駭客年會上公佈這個漏洞，並展示了一部分的帳號資料。

雖然是官網伺服器被駭，但是企業內部資料庫通常是共用的，所以小米雲端服務的用戶
可能也一起被駭了。

小米雲服務可以遠端操控手機，包括定位、鎖定、刪除手機資料，帳號被竊後影響甚巨，
建議有使用小米雲端功能的用戶盡快更改密碼。

--

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.50.158
※ 文章網址: http://www.ptt.cc/bbs/MobileComm/M.1414704130.A.382.html

※ 編輯: ousapas (1.34.50.158), 10/31/2014 05:29:06

推 BenZobrist: 小米太繩啦1F 10/31 05:28

推 rex0423: 米粉:反正又沒人想要我的資料其他人也一樣啊2F 10/31 06:05

推 nautasechs: 前面有一篇期待mate7的原po說他的指紋資料不重要，.3F 10/31 06:11

推 abc661234: 還好還沒買4F 10/31 06:12

推 nautasechs: 鄉民：我又不是馬英九或郭台銘，誰會要我的資料5F 10/31 06:14

推 s921619: 真的假的資料會外洩喔...這樣誰敢用阿...囧6F 10/31 06:43

推 tipe: 就算沒被駭，資料也都傳到某伺服器了7F 10/31 06:43

推 siekensou000: 好在不敢用8F 10/31 07:37

推 doom3: 小米說是2012/8的舊版本網站資料耶哪一邊可信?9F 10/31 07:44

推 silverair: 「魯蛇就不用想太多啦，你又不是張忠謀，誰要你的個資」wwwwe10F 10/31 07:49

→ ousapas: 他們上次也說沒回傳資料
另外這個駭客用的是0day漏洞，也就是沒被公佈的漏洞小米根本無從察覺是否被駭12F 10/31 07:54

推 ly4138: 米粉:反正我的個資又不重要15F 10/31 08:05

推 s921619: 就算我是魯蛇我也不要把個資交給我不信任的單位16F 10/31 08:07

推 dodonpachi: 說個資不重要的可能是學生吧17F 10/31 08:10

推 silverair: 很遺憾的是說這種話的人還真不少QQ18F 10/31 08:10

→ dodonpachi: 因為還一無所有19F 10/31 08:10

推 DarenR: 反正我不用小米沒差20F 10/31 08:16

→ jeff101234: 小米雲服務根本沒在用ˊ._.ˋ21F 10/31 08:22

→ flypower: 還好我沒有用小米雲
小米雲速度慢不說，有些功能可以用google裝置管理員至於照片、通訊紀錄、簡訊、錄音，我不會想傳小米雲22F 10/31 08:23

→ class21535: 都說小米山寨蘋果 icloud被駭小米當然也要被駭25F 10/31 08:29

推 jeff101234: 樓上好像正解(?26F 10/31 08:32

推 baozi: 炊粉：沒差，cp值一樣高到爆表，繼續爽爽用，全家個資一起貢獻給小米，讚啦
搞不好根本沒被駭，只是個資交易行為：)27F 10/31 08:35

→ agong: 用小米的都不怕詐騙的裡面手機聯絡人也是30F 10/31 08:46

→ KevinHarkins: 米粉哭哭ㄛWWWWW31F 10/31 08:51

推 kerkerjer: 這不是漏洞吧XDD32F 10/31 08:58

→ jf7642: 米粉: 我超會孝親不知道嗎?33F 10/31 09:21

→ jhangyu: 傻逼才用小米雲，又不是在大陸，Google服務好好的不用去用小米雲34F 10/31 09:26

→ samsumg: 小米怎連這個都要抄36F 10/31 09:26

推 signm: 不被駭小米不也看光光37F 10/31 09:27

→ seopen: 洨親機a不買嗎?我餓很久了38F 10/31 09:33

推 doom3: 這是網站耶你去買小米電源也會中招阿39F 10/31 09:33

推 ZxoF: 中國品牌不意外囉40F 10/31 09:40

推 b8806: 小米用戶，，，根本在怕41F 10/31 09:50

→ keney963817: mate7是華為跟個資回傳有啥關係42F 10/31 09:52

→ KevinHarkins: 樓上護啥航解放軍背景你問美國國防部敢用他們設備?有華為就看你護航，其心可議？
手機還比網路設備更貼身使用，竟然完全相信他們？指紋不算你自己的個資囉？個資不重要就貼你個資來啊自己不懂得悍衛個資隱私只知道要CP值其情可憫43F 10/31 09:56

推 d88647511: 看到中國就惱羞其情可憫
解放軍設備賣的世界好講的好像沒人要用
你的個資超重要就不要買阿送給辜狗幫你保管\48F 10/31 10:13

推 techih: 連Apple都外洩了小米算什麼51F 10/31 10:14

推 imhaha: 自己盜自己高招52F 10/31 10:20

→ baozi: 廢話，人家飛彈對著你耶，生氣惱羞很正常吧，是在可憫幾點的？難不成要跪著舔腳趾送錢比較不可憫？53F 10/31 10:24

推 shelizi: apple表示55F 10/31 10:25

推 d88647511: 原來你面對中國的態度只有跪著舔跟看到就惱羞兩種看來一堆歐美民主企業也是在跪著舔了56F 10/31 10:26

推 battleleader: 可能被駭為啥標題說得像已經被駭58F 10/31 10:28

→ Gunslinger: 因為該駭客已經在大會上揭露他透過此漏洞所取得的資料了59F 10/31 10:39

→ baozi: 26有飛彈對著歐美嗎？26有在國際打壓歐美外交嗎？搞清楚狀況別只會放地圖砲61F 10/31 10:40

→ flypower: 看到樓上的推文，還出去看了一下這裡是什麼版XD63F 10/31 10:41

→ baozi: 人家飛彈對著你打壓國際外交生存空間，生氣只是基本的尊嚴，到底在可憫幾點的？64F 10/31 10:42

推 d88647511: 繼續惱羞我繼續賺中國錢66F 10/31 10:44

推 Obb: 哈哈!67F 10/31 10:44

→ skychy: 小米反應超有趣的！一邊說這消息是惡搞，揚言要對發表人採取法律行動，一邊又要所有用戶趕快去改密碼XD68F 10/31 10:49

→ flypower: 樓上可以分享連結嗎? 想看一下小米的反應70F 10/31 10:51

推 r30385: 送雙親小米機=把雙親個資送給解放軍這也叫孝親XDDDD71F 10/31 10:52

→ skychy: 就原po的第二個連結呀！拉到下面有update73F 10/31 10:56

→ saur: 等流出圖中……74F 10/31 10:57

→ skychy: 小米有用e-mail來回應這件事情75F 10/31 10:57

→ flypower: 小米的回應，看起來那些駭客的資料是以前流出的。76F 10/31 11:00

推 weipuyan: 難道是師法於icloud被盜的事件??77F 10/31 11:09

推 ctotw: 早就猜到了！78F 10/31 11:11

→ skychy: 小米回應，這些是在2014年5月時，被駭客流出的一份2012年的用戶資料... 但小米希望2014年5月前註冊的用戶，都要記得去改密碼喔～你說這好不好玩？79F 10/31 11:12

→ flypower: 料敵從寬，所以我覺得還好，誰知道那些獨立資安人員會不會一點一點擠牙膏式的想玩小米XD82F 10/31 11:17

→ ousapas: 廠商對於這類事件當然是先一概否認承認了賠不完
Sony就曾經因為PSN帳號洩漏事件被提起集體訴訟84F 10/31 11:17

推 iMANIA: 用小米的人對個資及資安應該沒差吧86F 10/31 11:20