四问小米：800万用户数据泄漏事故几个疑点

对于小米这种同步大量用户敏感信息的云服务商来说，云安全防护能力是所有业务的根基，如果你手握数百万用户的重要数据，那么用户数据的安全就是你的业务生命线，是没有任何借口可讲的。

5月13日晚间网爆小米论坛800万注册用户信息泄露，随后国内安全问题反馈平台乌云的最新消息，小米论坛官方数据确实遭受了泄露事故。那么，此次小米用户泄漏事故到底是什么原因？对个人隐私的威胁有多大？事件背后是否有小米竞争对手的影子？以下安全牛将与小米用户泄漏事故有关的几个重点网络话题列举如下：

罪魁祸首是“开源”？

小米公司在声明中将安全漏洞归罪于第三方开源程序（也就是公开源代码的Discuz!），声称“在创业初期，我们的论坛及依附论坛产生的账号体系都使用了第三方开源程序。”

心脏出血漏洞曝光以来，业界似乎流行将安全问题推卸到开源软件身上，实际上不管对软件源代码的开发、管理有多么严格，一些意想不到的安全漏洞同样会出现在商业软件里。对于小米账户这种同步大量用户敏感信息的云服务来说，云安全体系的防护能力是所有业务的根基，如果你手握数百万用户的重要数据，那么在用户数据的安全就是你的业务生命线，是没有任何借口可讲的。例如美国零售商Target数据泄露事故后，其CEO引咎辞职。

此外，有知乎用户爆料称小米的安全团队狂妄自大，该用户2013年10月份在乌云漏洞报告平台提交了一个关于小米公司非常高危的的漏洞：一次小米未完成的内网渗透测试（仅测试可能性），得到的答复是：无影响厂商忽略。

到底泄露了多少个人数据？

有开发者根据泄露的数据库统计了用户的注册IP地址，发现大量用户用相同IP地址注册，有几个人或几十人几百人使用相同IP注册不算奇怪，但小米论坛是动辄几十万：其中58.68.235.85和58.68.235.84各有超过27万用户使用，218.87.5.249和115.175.27.131都有超过10万用户，前两个都是北京的IP地址，都指向小米。有人怀疑这是小米服务器的反向代理的IP，更多人怀疑是“水军”。

根据以上信息，此次小米用户数据泄露事故的规模很可能大大少于“800万”，而具体800万中有多少是用于营销和财报的水军，还需要事件进一步发酵离析。

对小米用户的危害有多大？

对小米用户来说，此次数据泄露事故危害极大，需要立刻更改并使用强密码！对泄露数据的分析显示，大部分小米账号同步使用邮箱，京东，支付宝等敏感信息。有网友亲测泄露的数据可进入小米账户，通过小米云服务可得到手机号及设备信息。通过同步可获得通讯录，短信，照片，便签。并可在线定位，发警报，锁定手机，及擦除信息等操作。

有人做空小米？

有知乎用户指出，“小米账户漏洞应该是追溯到当年inc.php uc-key的备份拿到权限。被人下载了数据库。然后再小米发布会的头一天在各个社工库上爆出，我觉得这明显是有人在做空小米，想想小米的那些竞争对手的出身，真为其捏一把汗。”