5月14日凌晨,国内著名的安全漏洞报告平台乌云惊爆疑似小米论坛的用户数据库在黑客界传播,涉及用户量高达800万。小米也在乌云爆出这个漏洞的当天就发出公告,承认确有部分2012年8月前注册的论坛账号信息被非法窃取。乌云的分析指出,由于小米账户具有云的特点,黑客有可能会在破解后获得用户的通讯录、短信、照片、GPS位置信息,甚至远程擦除手机数据。
一个近年来在软硬件业界纵横捭阖的大头尚且没有在论坛如此基本的平台上给于用户安全的保障,把责任归结为在创业初期使用第三方开源程序,那么它在手机、路由器、盒子等硬件以及自己的MIUI、米聊等软件上会在安全上严格把关吗?
搞安全的业者很容易看出,这次事故其实就是典型的“拖库”,就是说整个数据库被拖走了,这其实跟第三方论坛源码关系不大,被拖库,其实还是因为自己在安全策略上没有做到最好,没有在一开始的时候已经把用户的安全私隐放在首位。被拖库,小米为什么不第一时间检查一下是否自己的服务器系统漏洞没不补上,为什么不检查相关管理人员是否机器中了木马,为什么不检查检查管理日志查找黑客的蛛丝马迹,为什么不检查运维的安全策略有没有出现什么问题,反倒第一时间就把责任尽量推掉?
如果说小米论坛被拖库已经让大家对他在安全策略上的执行感到心痛的话,那么小米在这事的公告上急急忙忙把自己的责任尽量轻描淡写的态度,更是令人心寒。之前业界有人将小米捧为继“BAT”之后又一IT巨头,但是一家公司如果不敢负起应有的企业社会责任,又怎能跟腾讯、百度和阿里这些从用户根本利益出发的真正巨头相比?
数据泄漏之后,我们可以怎么自保呢?首先,大家应该尽快修改密码,并且通知亲朋好友格外留神,提防骗子利用您的个人信息来,获取他们信任进而行骗,这里说的修改密码可不止小米论坛的密码,而是指您曾经注册过的所有网站、APPs等各种密码,密码最好经常更换。其次,我们在选择注册和登录网站的时候,应该考虑不同平台的帐号和密码要分开设置,避免出现“火烧连环船”的问题,而且应该尽量选择大型、可靠的网站服务,避免在不靠谱的网站输入个人信息和银行帐号等敏感资料。
除了要养成以上良好的个人上网安全习惯以外,在软硬件的使用上也要谨慎。譬如可以选择具有良好安全口碑的路由器来为家庭网络把关,给电脑安装好安全软件。如果使用安卓手机;则应安装安全防护软件等等。这样即可以减免日后信息安全的风险,而且即使原有的信息有所泄漏,也能避免骗子和黑客妄图二次钓鱼行骗的风险。
