央視網|中國網絡電視臺|網站地圖 |
客服設為首頁 |
1月4日晚間,ID為“網路遊俠”的網友在其個人博客公開新浪愛問的一個SQL注入漏洞。
網友以台灣魔術師劉謙新浪微博為例,“圖文並茂”地一步步演示了如何通過新浪愛問數據庫漏洞進而成功獲取劉謙新浪微博賬號密碼,並嘗試登錄成功的全過程。當劉謙本人稍後了解到此情況後,更是在其新浪微博稱“太恐怖”“秘密都被看光了”引發新浪網友數百條熱議。眾多網友批評新浪的做法太不負責。
來自著名安全廠商的瑞星安全專家分析指出:此事件曝出擁有如此眾多用戶數量的大型社交網站也在使用明文密碼,只要網站自行對數據庫信息加密,及時造“拖庫”也不至於如此輕易洩露相關數據。而所謂SOL注入漏洞,只是黑客慣常使用的多種入侵手段之一,只要網站開發人員加以注意,也是完全可以提早避免的。
據該網友“網路遊俠”進一步透露:他在公開此漏洞前已向新浪官方通報過此漏洞,新浪官方雖未出面致謝,但已悄然彌補了此漏洞。
有媒體指出,此前曾有傳聞新浪微博密碼恐遭洩露,隨即遭到新浪官方公開否認,餘音未了,劉謙新浪微博密碼便繞道新浪愛問遭洩露,前後兩件事相與疊加,新浪官方遭遇安全質疑後的表態便更加耐人尋味。
1月5日,新浪愛問官方回應稱此次事件實際受到影響的用戶數字僅30萬,而非此前外界傳聞的7000萬。瑞星安全專家指出,安全業界關注此事並非單純因為新浪用戶數眾多,披露此安全事件也並非針對某網站,而是希望正確提示用戶認識到自身面臨的安全風險,及時修改重要密碼。
不過對於信息泄漏的具體情況,新浪方面目前尚沒有明確的回復,事件還在調查中。
瑞星安全專家提醒,當用戶使用大型社交類網站,尤其是日常經常登錄的幾個網站時,更應注意區別設置不同密碼,分散安全風險。如在常用網銀、常用電子信箱、常用微博賬戶,分別設置不同密碼,並養成設置較長較複雜的數字字母混合密碼,及定期更換個人密碼的良好習慣。