央视网|中国网络电视台|网站地图 |
客服设为首页 |
1月4日晚间,ID为“网路游侠”的网友在其个人博客公开新浪爱问的一个SQL注入漏洞。
网友以台湾魔术师刘谦新浪微博为例,“图文并茂”地一步步演示了如何通过新浪爱问数据库漏洞进而成功获取刘谦新浪微博账号密码,并尝试登录成功的全过程。当刘谦本人稍后了解到此情况后,更是在其新浪微博称“太恐怖”“秘密都被看光了”引发新浪网友数百条热议。众多网友批评新浪的做法太不负责。
来自著名安全厂商的瑞星安全专家分析指出:此事件曝出拥有如此众多用户数量的大型社交网站也在使用明文密码,只要网站自行对数据库信息加密,及时造“拖库”也不至于如此轻易泄露相关数据。而所谓SOL注入漏洞,只是黑客惯常使用的多种入侵手段之一,只要网站开发人员加以注意,也是完全可以提早避免的。
据该网友“网路游侠”进一步透露:他在公开此漏洞前已向新浪官方通报过此漏洞,新浪官方虽未出面致谢,但已悄然弥补了此漏洞。
有媒体指出,此前曾有传闻新浪微博密码恐遭泄露,随即遭到新浪官方公开否认,余音未了,刘谦新浪微博密码便绕道新浪爱问遭泄露,前后两件事相与叠加,新浪官方遭遇安全质疑后的表态便更加耐人寻味。
1月5日,新浪爱问官方回应称此次事件实际受到影响的用户数字仅30万,而非此前外界传闻的7000万。瑞星安全专家指出,安全业界关注此事并非单纯因为新浪用户数众多,披露此安全事件也并非针对某网站,而是希望正确提示用户认识到自身面临的安全风险,及时修改重要密码。
不过对于信息泄漏的具体情况,新浪方面目前尚没有明确的回复,事件还在调查中。
瑞星安全专家提醒,当用户使用大型社交类网站,尤其是日常经常登录的几个网站时,更应注意区别设置不同密码,分散安全风险。如在常用网银、常用电子信箱、常用微博账户,分别设置不同密码,并养成设置较长较复杂的数字字母混合密码,及定期更换个人密码的良好习惯。