V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sexoutsex2011
V2EX  ›  信息安全

小米论坛被脱裤了。

  •  7
     
  •   sexoutsex2011 · 2014-05-14 01:00:32 +08:00 · 21119 次点击
    这是一个创建于 3876 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://www.wooyun.org/bugs/wooyun-2014-060627
    微博上有人截图,13年的数据。受害者一枚,含泪飘过。i.mi.com 不小心同步了那么多个人隐私数据,这一下就全。。。
    第 1 条附言  ·  2014-05-14 11:48:12 +08:00
    又传一个

    发布会前夜的节奏
    149 条回复    2014-05-19 23:55:55 +08:00
    1  2  
    sexoutsex2011
        1
    sexoutsex2011  
    OP
       2014-05-14 01:01:46 +08:00   ❤️ 1
    关键是刚好我的小米号算早期注册号,用的还是较为通用的一个密码,没用随机密码。这下有得死了。
    xdeng
        2
    xdeng  
       2014-05-14 01:09:08 +08:00 via iPhone   ❤️ 1
    他用的是dz吧?
    Sivan
        3
    Sivan  
       2014-05-14 01:11:10 +08:00 via iPhone   ❤️ 1
    @sexoutsex2011
    不管是真是假:
    不要相信国内的云服务,用就做好泄露的思想准备;
    就算泄露了也没什么,我们被泄露的隐私比我们想象的多;
    被脱裤这种事不是第一家也不会是最后一家,心态很重要。
    sexoutsex2011
        4
    sexoutsex2011  
    OP
       2014-05-14 01:11:21 +08:00   ❤️ 1
    @xdeng
    Sivan
        5
    Sivan  
       2014-05-14 01:13:07 +08:00 via iPhone   ❤️ 1
    泄露的好像是社区,dz 不安全的,快改密码的话兴许云服务等风险不大。
    sexoutsex2011
        6
    sexoutsex2011  
    OP
       2014-05-14 01:13:47 +08:00
    ogrish
        7
    ogrish  
       2014-05-14 01:15:40 +08:00   ❤️ 1
    有下载了。13年的数据。
    ScotGu
        8
    ScotGu  
       2014-05-14 01:16:52 +08:00   ❤️ 1
    对于这个新闻,表示很震精,然后。。。
    还能怎样,默默的看看里面有我多少东西,然后改密码吧。
    Arumoh
        9
    Arumoh  
       2014-05-14 01:20:53 +08:00
    493.17M的版本正在下载..应该是真的,密码是加密的,弱密码的要注意了.
    Hashell
        10
    Hashell  
       2014-05-14 01:30:18 +08:00
    坑爹的.我密码超简单的..刚去改了密码了.没找着销号的地方.
    anheiyouxia
        11
    anheiyouxia  
       2014-05-14 01:32:52 +08:00 via Android
    @Arumoh 求分享
    Arumoh
        12
    Arumoh  
       2014-05-14 01:33:49 +08:00   ❤️ 11
    一般人我不告诉他,http://pan.baidu.com/s/1eQl9QoE 密码: hlya
    zjgood
        13
    zjgood  
       2014-05-14 01:51:06 +08:00 via Android
    @Arumoh 给力啊。。深夜福利
    jsonline
        14
    jsonline  
       2014-05-14 02:20:09 +08:00 via Android
    已经把云上的数据全部删掉并修改了密码。 然后发誓不把隐私同步到国内的云服务。
    andyhu
        15
    andyhu  
       2014-05-14 04:10:55 +08:00
    我昨天才注册的小米,看来应该没什么事
    话说谁有手机各个库?am i hacked关掉了,我想收集全点做个在线查询,做好后可以免费给大家使用
    andyhu
        16
    andyhu  
       2014-05-14 04:11:06 +08:00
    收集,抱歉打错了
    vibbow
        17
    vibbow  
       2014-05-14 05:35:24 +08:00
    @andyhu LastPass就可以检测。
    anheiyouxia
        18
    anheiyouxia  
       2014-05-14 07:02:20 +08:00 via Android
    @Arumoh 谢谢分享(╯3╰)


    @jsonline 本来就不应该,不止国内的,国外的也一样。
    javaluo
        19
    javaluo  
       2014-05-14 07:17:39 +08:00   ❤️ 1
    没有salt
    javaluo
        20
    javaluo  
       2014-05-14 07:26:01 +08:00   ❤️ 1
    加了salt
    WildCat
        21
    WildCat  
       2014-05-14 07:28:36 +08:00 via iPhone   ❤️ 1
    Discuz!是有盐的。

    不过真的大快人心,想知道那些软文作者是什么来头
    hermitu
        22
    hermitu  
       2014-05-14 07:52:27 +08:00   ❤️ 1
    没找到改密码的地方。。。(┬_┬)
    vellow
        23
    vellow  
       2014-05-14 08:43:28 +08:00   ❤️ 1
    尼玛登录都要排队,密码都改不了
    greatghoul
        24
    greatghoul  
       2014-05-14 08:44:26 +08:00   ❤️ 1
    已经修改密码了,这坑爹的玩意儿。
    fox
        25
    fox  
       2014-05-14 08:48:09 +08:00
    求问:小米论坛跟多看绑定的小米账号是一套id系统吗?
    hermitu
        26
    hermitu  
       2014-05-14 08:50:08 +08:00
    @Arumoh 下载了,但看不到里面的东西。。。
    belin520
        27
    belin520  
       2014-05-14 08:56:12 +08:00
    小米云的东西早期换手机已全部删除。
    anheiyouxia
        28
    anheiyouxia  
       2014-05-14 09:08:44 +08:00
    @hermitu 这个是MySQL数据库源文件,直接放到MySQL下的对应数据库文件夹下即可看到
    banxi1988
        29
    banxi1988  
       2014-05-14 09:10:07 +08:00
    @WildCat 真正受苦的是用户.
    信息安全无绝对,而且漏洞是不可能完全避免了,所以还是谴责攻击者比较好.
    因为真正泄漏隐私的是攻击者
    或者应该想想怎么让攻击者不要这么肆无忌惮.
    lsmgeb89
        30
    lsmgeb89  
       2014-05-14 09:11:22 +08:00
    还好我几乎所有账号都已经是随机密码了。
    baocaixiong
        31
    baocaixiong  
       2014-05-14 09:12:40 +08:00
    CREATE TABLE `xiaomi_com` (
    `id` int(10) NOT NULL AUTO_INCREMENT,
    `username` varchar(30) NOT NULL,
    `password` varchar(40) NOT NULL,
    `email` varchar(35) NOT NULL,
    `ip` varchar(15) NOT NULL,
    PRIMARY KEY (`id`),
    KEY `username` (`username`),
    KEY `email` (`email`)
    ) ENGINE=MyISAM AUTO_INCREMENT=8281388 DEFAULT CHARSET=utf8;

    数据库结构。这个400多M的数据没有用的。最多查查自己在不在里面。
    that5
        32
    that5  
       2014-05-14 09:22:20 +08:00
    又漏了,××
    shizzmk
        33
    shizzmk  
       2014-05-14 09:26:46 +08:00
    好歹前2年早注册再也没访问过,翔米怎么又作死啊
    jsonline
        34
    jsonline  
       2014-05-14 09:32:03 +08:00 via Android
    @anheiyouxia 1 那怎么备份资料 2 我宁愿泄漏给外国人
    valianliu
        35
    valianliu  
       2014-05-14 09:51:00 +08:00

    小米啊,你药店碧莲吧,登陆整出这么个提示,看来是确认被脱裤了。
    Ricky123
        36
    Ricky123  
       2014-05-14 09:52:25 +08:00
    小米的密码是什么加密的啊?
    fiture
        37
    fiture  
       2014-05-14 09:56:55 +08:00
    shit~
    jinyang656
        38
    jinyang656  
       2014-05-14 10:03:16 +08:00
    @valianliu
    @fiture
    不给提示,难道要假装没事?赶紧改密码吧,兄弟们
    MaiCong
        39
    MaiCong  
       2014-05-14 10:05:31 +08:00
    MD 一看到消息就马上去改了密码
    jandan
        40
    jandan  
       2014-05-14 10:09:47 +08:00
    再次提醒了任何站点注册账号密码最好不要一致,不一定哪天就裸奔了,哎。
    revival83
        41
    revival83  
       2014-05-14 10:10:56 +08:00
    @Sivan 我支持你我对百度云什么的一直持有呵呵的状态dropbox再慢也会坚持用,还有其他的更好选择吗?
    a3576623
        42
    a3576623  
       2014-05-14 10:12:46 +08:00
    换密码头疼啊幸好没注册小米
    anheiyouxia
        43
    anheiyouxia  
       2014-05-14 10:13:52 +08:00
    @jsonline 我都是本地备份的,android用钛备份,定期传到电脑上的
    你不介意,可以另外注册个邮箱,然后注册个Dropbox,然后用钛备份定期上传到这个Dropbox上,以前我就这么干的
    cevincheung
        44
    cevincheung  
       2014-05-14 10:14:19 +08:00
    @belin520 你以为你删的了么
    princeofwales
        45
    princeofwales  
       2014-05-14 10:16:13 +08:00
    我下载回来查了下,自己果然在里面
    username是常用ID
    密码加密过,早上已经修改了。小米账户里唯二的隐私就是手机号和收货地址了,这张表里没有
    email是自动生成的,xxx@bbs_ml_as_uid.xiaomi.com,用email撞不了库

    问题是,我下的裤子,里面怎么没有salt这一列?上面V友贴的表结构里也没有,难道根本没有加盐?还是放出下载之前,此列被有意删掉了?
    sun019
        46
    sun019  
       2014-05-14 10:18:50 +08:00
    discuz 密码有盐 不知道能反解密不
    有空研究下
    WildCat
        47
    WildCat  
       2014-05-14 10:25:04 +08:00
    @sun019 呵呵,不可能。

    @banxi1988 嗯,说得有理,我只是说个气话。
    wy315700
        48
    wy315700  
       2014-05-14 10:40:02 +08:00
    @princeofwales 盐和密码放在一个字段里 用冒号分隔的
    hzlzh
        49
    hzlzh  
       2014-05-14 10:40:59 +08:00
    没查到自己的,还是用 1Password 改密码先。
    Sivan
        50
    Sivan  
       2014-05-14 10:44:05 +08:00
    @revival83
    Dropbox 也难说保险啊,我现在用的是 Dropbox 和 iCloud。不过相比之下比国内应该安全很多吧。
    通讯录我用的 QQ 通讯录,已经做好信息泄露的准备了(反正存的不是我电话而且陌生号码我从来不信 ಠ౪ಠ)。
    princeofwales
        51
    princeofwales  
       2014-05-14 10:51:17 +08:00
    @wy315700 回去看了下,果然
    但这样就跟截图不同了,那张表有个单独的字段:salt
    算了,不纠结了。明天小米有发布会,这时爆料出来,有点意思
    Mutoo
        52
    Mutoo  
       2014-05-14 11:02:06 +08:00
    我的密码也在里面了,虽然加了salt,但是在 cmd5 已经有可查记录。我都不知道啥时候注册的小米,还好只是弱密码。
    Explorare
        53
    Explorare  
       2014-05-14 11:05:46 +08:00
    據烏雲那幫人說網路上還流傳着脫褲全過程的資料,比起數據庫,我還是對這個過程更感興趣啊,有人有找到麼( ´_ゝ`)
    viger
        54
    viger  
       2014-05-14 11:11:34 +08:00
    @Arumoh 求下载地址.
    jdqingm
        55
    jdqingm  
       2014-05-14 11:17:52 +08:00 via iPhone
    感觉现在的裤子都是隐形的,穿着和脱了没什么两样…
    young
        56
    young  
       2014-05-14 11:19:21 +08:00
    @Arumoh 链接无效了
    lazyphp
        57
    lazyphp  
       2014-05-14 11:19:38 +08:00
    @Explorare 同求。 也想了解一下过程
    Orz
        58
    Orz  
       2014-05-14 11:22:17 +08:00
    早上朋友接到电话了,呵呵,我刚试了下登陆小米网站也提示修改密码。
    rAYz
        59
    rAYz  
       2014-05-14 11:22:38 +08:00
    http://www.wooyun.org/bugs/wooyun-2014-060658
    似乎又一个… 这是谁要搞死小米呀
    kingwon
        60
    kingwon  
       2014-05-14 11:31:35 +08:00
    没搜到,有关键词不?
    skydiver
        61
    skydiver  
       2014-05-14 11:35:11 +08:00
    @Orz 你先借我200。。。。亮了
    picasso250
        62
    picasso250  
       2014-05-14 11:41:36 +08:00
    @Arumoh 网盘的分享被取消了……
    ihciah
        63
    ihciah  
       2014-05-14 11:46:45 +08:00 via Android
    @anheiyouxia 求下载地址~~谢谢~
    cxshun
        64
    cxshun  
       2014-05-14 11:46:52 +08:00
    貌似我的没提醒帐户异常,是不是就没啥事了。话说我是14年才注册小米帐号的,为了多看。
    kingwon
        65
    kingwon  
       2014-05-14 11:47:10 +08:00
    @picasso250 霄池?
    sh4dow
        66
    sh4dow  
       2014-05-14 11:48:08 +08:00
    @Arumoh 求再次分享。不过800w的用户才400m,应该不全吧
    Keng
        67
    Keng  
       2014-05-14 11:49:32 +08:00
    我去,当年用小米同步了短信和通讯录,虽然后来我自己删掉了,不知道还会不会在后台保留着。。
    JW0224
        68
    JW0224  
       2014-05-14 11:49:36 +08:00
    @anheiyouxia @Arumoh 求再次分享、、
    sexoutsex2011
        69
    sexoutsex2011  
    OP
       2014-05-14 11:51:38 +08:00   ❤️ 1
    @Keng 有回收站的,需要再清空一下。
    guibin1989
        70
    guibin1989  
       2014-05-14 11:52:19 +08:00
    多看用户有影响么...
    sexoutsex2011
        71
    sexoutsex2011  
    OP
       2014-05-14 11:54:26 +08:00
    @guibin1989 没用多看,不大清楚。但账号应该是打通的。
    anheiyouxia
        72
    anheiyouxia  
       2014-05-14 11:54:49 +08:00   ❤️ 2
    @JW0224
    链接:http://pan.baidu.com/s/1dDmXTWd 提取密码:o6l0
    Ricky123
        73
    Ricky123  
       2014-05-14 11:59:48 +08:00
    加盐的MD5
    可以解密么?
    anheiyouxia
        74
    anheiyouxia  
       2014-05-14 12:00:55 +08:00   ❤️ 3
    @ihciah 链接:http://pan.baidu.com/s/1dDmXTWd 提取密码:o6l0


    @sh4dow 解压后1.2G
    Keng
        75
    Keng  
       2014-05-14 12:08:26 +08:00
    @sexoutsex2011 还真有回收站。。。
    而且半年多了还不自动删除。。。
    whwnow
        76
    whwnow  
       2014-05-14 12:17:48 +08:00
    @anheiyouxia 感谢分享,看看自己中招没
    anheiyouxia
        77
    anheiyouxia  
       2014-05-14 12:19:55 +08:00
    其实我搭建了个数据库,要是不想下载的可以跟我要数据库地址,我的用户名gmail.com
    kingwon
        78
    kingwon  
       2014-05-14 12:20:38 +08:00
    果然在其中。
    young
        79
    young  
       2014-05-14 12:28:48 +08:00
    @sexoutsex2011 云服务联系人里面还有个时光机,怎么破
    sexoutsex2011
        80
    sexoutsex2011  
    OP
       2014-05-14 12:33:47 +08:00
    @young 看了下,确实有。没招了,昨晚都白清了。
    byron
        81
    byron  
       2014-05-14 12:58:41 +08:00
    @anheiyouxia 是不是只有五个字段?
    ihciah
        82
    ihciah  
       2014-05-14 13:06:13 +08:00
    有谁知道加盐的算法用的什么?MD5(pwd+salt)?
    Aoliz
        83
    Aoliz  
       2014-05-14 13:08:04 +08:00
    问达人,需要修改其他平台上相同邮箱,相同密码的账号的密码吗?
    cnxh
        84
    cnxh  
       2014-05-14 13:22:51 +08:00   ❤️ 1
    @ihciah md5(md5(pwd)+salt)
    byron
        85
    byron  
       2014-05-14 13:37:31 +08:00
    @cnxh 这里可以查么?
    http://www.xmd5.org/md5/getpasssalt.asp
    怎么查?
    2232588429
        86
    2232588429  
       2014-05-14 13:48:45 +08:00
    @anheiyouxia 你那个百度盘链接提示分享被取消了,怎么回事?
    laiwei
        87
    laiwei  
       2014-05-14 13:51:41 +08:00


    小米公司的通告哈

    总体来说,影响很小

    另外,小米的passport,会做检测,提示更新密码
    slappedman
        88
    slappedman  
       2014-05-14 13:52:52 +08:00
    删的挺快啊!求再次共享,俺在这蹲着刷,谢谢!
    newborn
        89
    newborn  
       2014-05-14 14:05:47 +08:00
    蹲点求内裤
    picasso250
        90
    picasso250  
       2014-05-14 14:14:45 +08:00   ❤️ 1
    @ihciah 正在试验……
    pk0377
        91
    pk0377  
       2014-05-14 14:15:20 +08:00
    线上求内裤
    jackluo
        92
    jackluo  
       2014-05-14 14:19:13 +08:00
    @newborn 求结果。。。
    picasso250
        93
    picasso250  
       2014-05-14 14:19:27 +08:00
    @cnxh 谢谢
    pk0377
        94
    pk0377  
       2014-05-14 14:20:18 +08:00
    @anheiyouxia 被取消了!
    pk0377
        95
    pk0377  
       2014-05-14 14:21:00 +08:00
    @picasso250 私信。地址。。
    Leo
        96
    Leo  
       2014-05-14 14:24:08 +08:00
    好诡异,早上已经修改密码了
    下午登录异常,居然能用旧密码登录,这是什么防范逻辑?
    codingpp
        97
    codingpp  
       2014-05-14 14:24:54 +08:00
    @anheiyouxia 求结果!!!
    zangbianxuegu
        98
    zangbianxuegu  
       2014-05-14 14:31:53 +08:00
    shi一样的产品
    anheiyouxia
        99
    anheiyouxia  
       2014-05-14 14:32:28 +08:00
    http://zhuanlan.zhihu.com/wooyun/19752440

    乌云那边已经试出来了...
    破解算法:md5(md5($pass).$salt)
    pk0377
        100
    pk0377  
       2014-05-14 14:34:55 +08:00
    @anheiyouxia 求地址
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5792 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 06:36 · PVG 14:36 · LAX 22:36 · JFK 01:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.