新浪被爆7000萬用戶密碼泄露 明文保存密碼
1月5日,安全網(wǎng)站游俠安全網(wǎng)(http://www.youxia.org/2012/01/2012-SINA-weibo-user-password-lose.html)發(fā)布消息稱,新浪存在用戶密碼泄露漏洞,同時(shí)明文保存用戶密碼。
該網(wǎng)站稱,新浪網(wǎng)iask存在sql注射漏洞,利用漏洞可讀取iask數(shù)據(jù)庫內(nèi)內(nèi)容,包括明文密碼在內(nèi)的7000多W新浪用戶信息。
游俠安全網(wǎng)演示的利用iask的漏洞讀取用戶密碼
同時(shí),游俠安全網(wǎng)舉例子稱,通過上述漏洞,起可以直接找到知名魔術(shù)師劉謙的用戶名和密碼。而劉謙也在其微博承認(rèn)其秘密都被看光。
劉謙在其微博承認(rèn)其秘密都被看光
據(jù)悉,目前,新浪已經(jīng)修復(fù)其漏洞。
不過,游俠安全網(wǎng)則質(zhì)疑稱:“新浪在csdn、天涯等用戶庫泄露后申稱新浪數(shù)據(jù)庫并沒有泄露,而且密碼是密文保存。這里要提出質(zhì)疑了,數(shù)據(jù)庫密碼明明是明文保存。至少iask中大部分用戶是明文保存密碼(部分用戶查不到密碼)。至于用戶信息是否泄露,這個(gè)不用說了把?”
12月26日,針對有消息稱新浪微博476萬用戶信息外泄一事,新浪方面今日稱,新浪微博帳號信息采用加密存儲,并未出現(xiàn)被盜情況。
此前,新浪微博曾發(fā)布公告提醒用戶:“近日有網(wǎng)站的用戶賬號信息發(fā)生泄露,如果您在微博上使用了和其他網(wǎng)站相同的登錄郵箱和密碼,為了確保賬號安全,建議您盡快修改密碼。此外,如果您設(shè)置的密碼過于簡單,也會增加賬號被盜的風(fēng)險(xiǎn)。”
