小米论坛被脱裤了。 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sexoutsex2011
V2EX    信息安全

小米论坛被脱裤了。

  •  7
     
  •   sexoutsex2011 2014-05-14 01:00:32 +08:00 21960 次点击
    这是一个创建于 4171 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://www.wooyun.org/bugs/wooyun-2014-060627
    微博上有人截图,13年的数据。受害者一枚,含泪飘过。i.mi.com 不小心同步了那么多个人隐私数据,这一下就全。。。
    第 1 条附言    2014-05-14 11:48:12 +08:00
    又传一个

    发布会前夜的节奏
    149 条回复    2014-05-19 23:55:55 +08:00
    1  2  
    sexoutsex2011
        1
    sexoutsex2011  
    OP
       2014-05-14 01:01:46 +08:00   1
    关键是刚好我的小米号算早期注册号,用的还是较为通用的一个密码,没用随机密码。这下有得死了。
    xdeng
        2
    xdeng  
       2014-05-14 01:09:08 +08:00 via iPhone   1
    他用的是dz吧?
    Sivan
        3
    Sivan  
       2014-05-14 01:11:10 +08:00 via iPhone   1
    @sexoutsex2011
    不管是真是假:
    不要相信国内的云服务,用就做好泄露的思想准备;
    就算泄露了也没什么,我们被泄露的隐私比我们想象的多;
    被脱裤这种事不是第一家也不会是最后一家,心态很重要。
    sexoutsex2011
        4
    sexoutsex2011  
    OP
       2014-05-14 01:11:21 +08:00   1
    @xdeng
    Sivan
        5
    Sivan  
       2014-05-14 01:13:07 +08:00 via iPhone   1
    泄露的好像是社区,dz 不安全的,快改密码的话兴许云服务等风险不大。
    sexoutsex2011
        6
    sexoutsex2011  
    OP
       2014-05-14 01:13:47 +08:00
    ogrish
        7
    ogrish  
       2014-05-14 01:15:40 +08:00   1
    有下载了。13年的数据。
    ScotGu
        8
    ScotGu  
       2014-05-14 01:16:52 +08:00   1
    对于这个新闻,表示很震精,然后。。。
    还能怎样,默默的看看里面有我多少东西,然后改密码吧。
    Arumoh
        9
    Arumoh  
       2014-05-14 01:20:53 +08:00
    493.17M的版本正在下载..应该是真的,密码是加密的,弱密码的要注意了.
    Hashell
        10
    Hashell  
       2014-05-14 01:30:18 +08:00
    坑爹的.我密码超简单的..刚去改了密码了.没找着销号的地方.
    anheiyouxia
        11
    anheiyouxia  
       2014-05-14 01:32:52 +08:00 via Android
    @Arumoh 求分享
    Arumoh
        12
    Arumoh  
       2014-05-14 01:33:49 +08:00   11
    一般人我不告诉他,http://pan.baidu.com/s/1eQl9QoE 密码: hlya
    zjgood
        13
    zjgood  
       2014-05-14 01:51:06 +08:00 via Android
    @Arumoh 给力啊。。深夜福利
    jsonline
        14
    jsonline  
       2014-05-14 02:20:09 +08:00 via Android
    已经把云上的数据全部删掉并修改了密码。 然后发誓不把隐私同步到国内的云服务。
    andyhu
        15
    andyhu  
       2014-05-14 04:10:55 +08:00
    我昨天才注册的小米,看来应该没什么事
    话说谁有手机各个库?am i hacked关掉了,我想收集全点做个在线查询,做好后可以免费给大家使用
    andyhu
        16
    andyhu  
       2014-05-14 04:11:06 +08:00
    收集,抱歉打错了
    vibbow
        17
    vibbow  
       2014-05-14 05:35:24 +08:00
    @andyhu LastPass就可以检测。
    anheiyouxia
        18
    anheiyouxia  
       2014-05-14 07:02:20 +08:00 via Android
    @Arumoh 谢谢分享(3)


    @jsonline 本来就不应该,不止国内的,国外的也一样。
    javaluo
        19
    javaluo  
       2014-05-14 07:17:39 +08:00   1
    没有salt
    javaluo
        20
    javaluo  
       2014-05-14 07:26:01 +08:00   1
    加了salt
    WildCat
        21
    WildCat  
       2014-05-14 07:28:36 +08:00 via iPhone   1
    Discuz!是有盐的。

    不过真的大快人心,想知道那些软文作者是什么来头
    hermitu
        22
    hermitu  
       2014-05-14 07:52:27 +08:00   1
    没找到改密码的地方。。。(┬_┬)
    vellow
        23
    vellow  
       2014-05-14 08:43:28 +08:00   1
    尼玛登录都要排队,密码都改不了
    greatghoul
        24
    greatghoul  
       2014-05-14 08:44:26 +08:00   1
    已经修改密码了,这坑爹的玩意儿。
    fox
        25
    fox  
       2014-05-14 08:48:09 +08:00
    求问:小米论坛跟多看绑定的小米账号是一套id系统吗?
    hermitu
        26
    hermitu  
       2014-05-14 08:50:08 +08:00
    @Arumoh 下载了,但看不到里面的东西。。。
    icanfork
        27
    icanfork  
       2014-05-14 08:56:12 +08:00
    小米云的东西早期换手机已全部删除。
    anheiyouxia
        28
    anheiyouxia  
       2014-05-14 09:08:44 +08:00
    @hermitu 这个是MySQL数据库源文件,直接放到MySQL下的对应数据库文件夹下即可看到
    banxi1988
        29
    banxi1988  
       2014-05-14 09:10:07 +08:00
    @WildCat 真正受苦的是用户.
    信息安全无绝对,而且漏洞是不可能完全避免了,所以还是谴责攻击者比较好.
    因为真正泄漏隐私的是攻击者
    或者应该想想怎么让攻击者不要这么肆无忌惮.
    lsmgeb89
        30
    lsmgeb89  
       2014-05-14 09:11:22 +08:00
    还好我几乎所有账号都已经是随机密码了。
    baocaixiong
        31
    baocaixiong  
       2014-05-14 09:12:40 +08:00
    CREATE TABLE `xiaomi_com` (
    `id` int(10) NOT NULL AUTO_INCREMENT,
    `username` varchar(30) NOT NULL,
    `password` varchar(40) NOT NULL,
    `email` varchar(35) NOT NULL,
    `ip` varchar(15) NOT NULL,
    PRIMARY KEY (`id`),
    KEY `username` (`username`),
    KEY `email` (`email`)
    ) ENGINE=MyISAM AUTO_INCREMENT=8281388 DEFAULT CHARSET=utf8;

    数据库结构。这个400多M的数据没有用的。最多查查自己在不在里面。
    that5
        32
    that5  
       2014-05-14 09:22:20 +08:00
    又漏了,××
    shizzmk
        33
    shizzmk  
       2014-05-14 09:26:46 +08:00
    好歹前2年早注册再也没访问过,翔米怎么又作死啊
    jsonline
        34
    jsonline  
       2014-05-14 09:32:03 +08:00 via Android
    @anheiyouxia 1 那怎么备份资料 2 我宁愿泄漏给外国人
    valianliu
        35
    valianliu  
       2014-05-14 09:51:00 +08:00

    小米啊,你药店碧莲吧,登陆整出这么个提示,看来是确认被脱裤了。
    Ricky123
        36
    Ricky123  
       2014-05-14 09:52:25 +08:00
    小米的密码是什么加密的啊?
    fiture
        37
    fiture  
       2014-05-14 09:56:55 +08:00
    shit~
    yufz
        38
    yufz  
       2014-05-14 10:03:16 +08:00
    @valianliu
    @fiture
    不给提示,难道要假装没事?赶紧改密码吧,兄弟们
    MaiCong
        39
    MaiCong  
       2014-05-14 10:05:31 +08:00
    MD 一看到消息就马上去改了密码
    jandan
        40
    jandan  
       2014-05-14 10:09:47 +08:00
    再次提醒了任何站点注册账号密码最好不要一致,不一定哪天就裸奔了,哎。
    revival83
        41
    revival83  
    PRO
       2014-05-14 10:10:56 +08:00
    @Sivan 我支持你我对百度云什么的一直持有呵呵的状态dropbox再慢也会坚持用,还有其他的更好选择吗?
    a3576623
        42
    a3576623  
       2014-05-14 10:12:46 +08:00
    换密码头疼啊幸好没注册小米
    anheiyouxia
        43
    anheiyouxia  
       2014-05-14 10:13:52 +08:00
    @jsonline 我都是本地备份的,android用钛备份,定期传到电脑上的
    你不介意,可以另外注册个邮箱,然后注册个Dropbox,然后用钛备份定期上传到这个Dropbox上,以前我就这么干的
    cevincheung
        44
    cevincheung  
       2014-05-14 10:14:19 +08:00
    @belin520 你以为你删的了么
    princeofwales
        45
    princeofwales  
       2014-05-14 10:16:13 +08:00
    我下载回来查了下,自己果然在里面
    username是常用ID
    密码加密过,早上已经修改了。小米账户里唯二的隐私就是手机号和收货地址了,这张表里没有
    email是自动生成的,xxx@bbs_ml_as_uid.xiaomi.com,用email撞不了库

    问题是,我下的裤子,里面怎么没有salt这一列?上面V友贴的表结构里也没有,难道根本没有加盐?还是放出下载之前,此列被有意删掉了?
    sun019
        46
    sun019  
       2014-05-14 10:18:50 +08:00
    discuz 密码有盐 不知道能反解密不
    有空研究下
    WildCat
        47
    WildCat  
       2014-05-14 10:25:04 +08:00
    @sun019 呵呵,不可能。

    @banxi1988 嗯,说得有理,我只是说个气话。
    wy315700
        48
    wy315700  
       2014-05-14 10:40:02 +08:00
    @princeofwales 盐和密码放在一个字段里 用冒号分隔的
    hzlzh
        49
    hzlzh  
    PRO
       2014-05-14 10:40:59 +08:00
    没查到自己的,还是用 1Password 改密码先。
    Sivan
        50
    Sivan  
       2014-05-14 10:44:05 +08:00
    @revival83
    Dropbox 也难说保险啊,我现在用的是 Dropbox 和 iCloud。不过相比之下比国内应该安全很多吧。
    通讯录我用的 QQ 通讯录,已经做好信息泄露的准备了(反正存的不是我电话而且陌生号码我从来不信 )。
    princeofwales
        51
    princeofwales  
       2014-05-14 10:51:17 +08:00
    @wy315700 回去看了下,果然
    但这样就跟截图不同了,那张表有个单独的字段:salt
    算了,不纠结了。明天小米有发布会,这时爆料出来,有点意思
    Mutoo
        52
    Mutoo  
       2014-05-14 11:02:06 +08:00
    我的密码也在里面了,虽然加了salt,但是在 cmd5 已经有可查记录。我都不知道啥时候注册的小米,还好只是弱密码。
    Explorare
        53
    Explorare  
       2014-05-14 11:05:46 +08:00
    那人路上流着全程的料,比起,我是程更感趣啊,有人有找到( _`)
    viger
        54
    viger  
       2014-05-14 11:11:34 +08:00
    @Arumoh 求下载地址.
    jdqingm
        55
    jdqingm  
       2014-05-14 11:17:52 +08:00 via iPhone
    感觉现在的裤子都是隐形的,穿着和脱了没什么两样…
    young
        56
    young  
       2014-05-14 11:19:21 +08:00
    @Arumoh 链接无效了
    lazyphp
        57
    lazyphp  
       2014-05-14 11:19:38 +08:00
    @Explorare 同求。 也想了解一下过程
    Orz
        58
    Orz  
       2014-05-14 11:22:17 +08:00
    早上朋友接到电话了,呵呵,我刚试了下登陆小米网站也提示修改密码。
    rAYz
        59
    rAYz  
       2014-05-14 11:22:38 +08:00
    http://www.wooyun.org/bugs/wooyun-2014-060658
    似乎又一个… 这是谁要搞死小米呀
    kingwon
        60
    kingwon  
       2014-05-14 11:31:35 +08:00
    没搜到,有关键词不?
    skydiver
        61
    skydiver  
       2014-05-14 11:35:11 +08:00
    @Orz 你先借我200。。。。亮了
    picasso250
        62
    picasso250  
       2014-05-14 11:41:36 +08:00
    @Arumoh 网盘的分享被取消了……
    ihciah
        63
    ihciah  
       2014-05-14 11:46:45 +08:00 via Android
    @anheiyouxia 求下载地址~~谢谢~
    cxshun
        64
    cxshun  
       2014-05-14 11:46:52 +08:00
    貌似我的没提醒帐户异常,是不是就没啥事了。话说我是14年才注册小米帐号的,为了多看。
    kingwon
        65
    kingwon  
       2014-05-14 11:47:10 +08:00
    @picasso250 霄池?
    sh4dow
        66
    sh4dow  
       2014-05-14 11:48:08 +08:00
    @Arumoh 求再次分享。不过800w的用户才400m,应该不全吧
    Keng
        67
    Keng  
       2014-05-14 11:49:32 +08:00
    我去,当年用小米同步了短信和通讯录,虽然后来我自己删掉了,不知道还会不会在后台保留着。。
    JW0224
        68
    JW0224  
       2014-05-14 11:49:36 +08:00
    @anheiyouxia @Arumoh 求再次分享、、
    sexoutsex2011
        69
    sexoutsex2011  
    OP
       2014-05-14 11:51:38 +08:00   1
    @Keng 有回收站的,需要再清空一下。
    guibin1989
        70
    guibin1989  
       2014-05-14 11:52:19 +08:00
    多看用户有影响么...
    sexoutsex2011
        71
    sexoutsex2011  
    OP
       2014-05-14 11:54:26 +08:00
    @guibin1989 没用多看,不大清楚。但账号应该是打通的。
    anheiyouxia
        72
    anheiyouxia  
       2014-05-14 11:54:49 +08:00   2
    @JW0224
    链接:http://pan.baidu.com/s/1dDmXTWd 提取密码:o6l0
    Ricky123
        73
    Ricky123  
       2014-05-14 11:59:48 +08:00
    加盐的MD5
    可以解密么?
    anheiyouxia
        74
    anheiyouxia  
       2014-05-14 12:00:55 +08:00   3
    @ihciah 链接:http://pan.baidu.com/s/1dDmXTWd 提取密码:o6l0


    @sh4dow 解压后1.2G
    Keng
        75
    Keng  
       2014-05-14 12:08:26 +08:00
    @sexoutsex2011 还真有回收站。。。
    而且半年多了还不自动删除。。。
    whwnow
        76
    whwnow  
       2014-05-14 12:17:48 +08:00
    @anheiyouxia 感谢分享,看看自己中招没
    anheiyouxia
        77
    anheiyouxia  
       2014-05-14 12:19:55 +08:00
    其实我搭建了个数据库,要是不想下载的可以跟我要数据库地址,我的用户名gmail.com
    kingwon
        78
    kingwon  
       2014-05-14 12:20:38 +08:00
    果然在其中。
    young
        79
    young  
       2014-05-14 12:28:48 +08:00
    @sexoutsex2011 云服务联系人里面还有个时光机,怎么破
    sexoutsex2011
        80
    sexoutsex2011  
    OP
       2014-05-14 12:33:47 +08:00
    @young 看了下,确实有。没招了,昨晚都白清了。
    byron
        81
    byron  
       2014-05-14 12:58:41 +08:00
    @anheiyouxia 是不是只有五个字段?
    ihciah
        82
    ihciah  
       2014-05-14 13:06:13 +08:00
    有谁知道加盐的算法用的什么?MD5(pwd+salt)?
    Aoliz
        83
    Aoliz  
       2014-05-14 13:08:04 +08:00
    问达人,需要修改其他平台上相同邮箱,相同密码的账号的密码吗?
    cnxh
        84
    cnxh  
       2014-05-14 13:22:51 +08:00   1
    @ihciah md5(md5(pwd)+salt)
    byron
        85
    byron  
       2014-05-14 13:37:31 +08:00
    @cnxh 这里可以查么?
    http://www.xmd5.org/md5/getpasssalt.asp
    怎么查?
    2232588429
        86
    2232588429  
       2014-05-14 13:48:45 +08:00
    @anheiyouxia 你那个百度盘链接提示分享被取消了,怎么回事?
    laiwei
        87
    laiwei  
       2014-05-14 13:51:41 +08:00


    小米公司的通告哈

    总体来说,影响很小

    另外,小米的passport,会做检测,提示更新密码
    slappedman
        88
    slappedman  
       2014-05-14 13:52:52 +08:00
    删的挺快啊!求再次共享,俺在这蹲着刷,谢谢!
    newborn
        89
    newborn  
       2014-05-14 14:05:47 +08:00
    蹲点求内裤
    picasso250
        90
    picasso250  
       2014-05-14 14:14:45 +08:00   1
    @ihciah 正在试验……
    pk0377
        91
    pk0377  
       2014-05-14 14:15:20 +08:00
    线上求内裤
    jackluo
        92
    jackluo  
       2014-05-14 14:19:13 +08:00
    @newborn 求结果。。。
    picasso250
        93
    picasso250  
       2014-05-14 14:19:27 +08:00
    @cnxh 谢谢
    pk0377
        94
    pk0377  
       2014-05-14 14:20:18 +08:00
    @anheiyouxia 被取消了!
    pk0377
        95
    pk0377  
       2014-05-14 14:21:00 +08:00
    @picasso250 私信。地址。。
    Leo
        96
    Leo  
       2014-05-14 14:24:08 +08:00
    好诡异,早上已经修改密码了
    下午登录异常,居然能用旧密码登录,这是什么防范逻辑?
    codingpp
        97
    codingpp  
       2014-05-14 14:24:54 +08:00
    @anheiyouxia 求结果!!!
    zangbianxuegu
        98
    zangbianxuegu  
       2014-05-14 14:31:53 +08:00
    shi一样的产品
    anheiyouxia
        99
    anheiyouxia  
       2014-05-14 14:32:28 +08:00
    http://zhuanlan.zhihu.com/wooyun/19752440

    乌云那边已经试出来了...
    破解算法:md5(md5($pass).$salt)
    pk0377
        100
    pk0377  
       2014-05-14 14:34:55 +08:00
    @anheiyouxia 求地址
    1  2  
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2797 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 32ms UTC 14:50 PVG 22:50 LAX 07:50 JFK 10:50
    Do have faith in what you're doing.
    ubao snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86