青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 互联网广告过滤的小历史 从Pinterest看2012年互联网大变革 »

新浪爱问用户明文密码泄露

  “乌云”飘走了,“游侠”又飞过来。昨日,安全网站游侠安全网发布消息称,新浪爱问存在用户密码泄露漏洞,同时明文保存用户密码。

  该网站称,新浪爱问存在SQL注入漏洞,利用此漏洞可读取新浪爱问数据库内容,包括明文密码在内的大量新浪用户信息。该网站测试了不少明星,基本上都能通过微薄获取他们的私人信息。

  报告此漏洞的专业安全人员对着名魔术师刘谦的微博进行了尝试性攻击,取得成功,可以直接找到知名魔术师刘谦的用户名和密码。刘谦得知此事后在微博上连呼“太恐怖了吧”。

  据悉,目前,新浪已经修复其漏洞。

  新浪爱问在微博发布消息称:“由于新浪爱问存在系统漏洞,可能导致约30万登录过爱问的新浪帐号存在被盗号风险,我们已紧急修复此漏洞。这批帐号已被保护,需修改密码后才能使用。由此给用户带来的不便,我们深表歉意。近期账号安全问题突出,我们再次提醒广大用户注意账号安全。”

  早先,针对有消息称新浪微博用户信息外泄一事,新浪曾表示,新浪微博帐号信息采用加密存储,并未出现被盗情况。

个人密码安全策略



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2952.html
  • 文章排行:
  • 1.四六成双
  • "再次提醒广大用户注意账号安全" 干! 我们注意有鸟用???? 你tmd 明文存取, SQL注入漏洞. 再长的密码有屁用?
  • 2012/1/5 18:30:20   支持(48)反对(26) 回复
  • 2.hulhut
  • 这么多泄漏的网站,为什么还要用明文密码,用明文密码你能赚钱不
  • 2012/1/5 23:33:08   支持(28)反对(12) 回复
  • 3.ladymama
  • 为什么国内网站都明文保存呢
  • 2012/1/5 15:20:34   支持(24)反对(9) 回复
  • 4.川川de樱花
  • 只有30万?太扯了!鬼才信,而且全站SSO怎么可能只和爱问有关?别把大家智商看得太低了
  • 2012/1/5 17:35:08   支持(27)反对(14) 回复
  • 5.阿東丶Vincent
  • 为什么刘谦的密码会被明文泄露?请回答
  • 2012/1/5 19:15:51   支持(22)反对(9) 回复
  • 7.test132
  • 现在爱问基本没什么人维护,出问题是必然的。
  • 2012/1/5 19:54:36   支持(23)反对(11) 回复
  • 9.360网站安全检测
  • 要抓紧修复啊!
  • 2012/1/5 17:41:55   支持(20)反对(9) 回复
  • 11.IT168网络安全频道
  • 元旦归来刚消停两天又开始了~
  • 2012/1/5 19:12:57   支持(23)反对(12) 回复
  • 12.大不易居
  • 反正我就没把新浪微博当回事,泄漏就泄露。 google账户泄密才会让我紧张
    密码三个1 于 2012-1-5 17:51:06 回复
    Google 的秘密存储就“绝不可能”是明文了。
  • 2012/1/5 16:51:32   支持(17)反对(7) 回复
  • 14.呵呵
  • 呵呵危机依然存在,没人主动自查。真可怕。
  • 2012/1/5 15:04:59   支持(24)反对(15) 回复
  • 16.蜀黍兜兜里有糖
  • 你们敢再2一点吗?小学生都知道密码要加密,神马玩意!
  • 2012/1/5 18:19:41   支持(27)反对(18) 回复
  • 18.liangfei0201
  • 如果登录新浪爱问是明文密码,表示主站密码来源也是明文,而不是不可逆的Digest密文存储。
  • 2012/1/5 18:52:37   支持(18)反对(9) 回复
  • 19.锦亭二娃
  • 修改密码已经不能保证我们的安全了
  • 2012/1/7 13:20:38   支持(19)反对(10) 回复
  • 20.澎澎nightmoon
  • 那链接已经被封了。。。用不用这么快啊。。。
  • 2012/1/5 15:21:27   支持(17)反对(9) 回复
  • 21.症候来时开始撸比比西腐尔摩斯2
  • 看来国内网站用明文保存密码是应领导要求这个说法很有可能是真的……
  • 2012/1/5 14:55:18   支持(38)反对(31) 回复
  • 22.爱微博客
  • 不知道泄了多少回了,只是这个黑客比较善良而已
  • 2012/1/5 15:40:04   支持(29)反对(22) 回复
  • 23.挨踢茶馆
  • 挺好的,发现了漏洞没有进行恶意性攻击哈。
  • 2012/1/5 20:40:44   支持(22)反对(15) 回复
  • 24.铁观音
  • 最近是怎么了?前阶段不是也风言有几个银行的账号、密码泄露出去了吗?天呐!太恐怖了!
  • 2012/1/7 9:33:23   支持(22)反对(15) 回复
  • 25.andrew
  • 为啥要明文存放?密码复杂有奶哦用?注册时还显示密码的强弱?有毛病
  • 2012/1/8 11:35:30   支持(22)反对(15) 回复
  • 27.荆凤山
  • 每一个泄漏我全中招!!!
  • 2012/1/5 18:16:47   支持(19)反对(13) 回复
  • 29.xx
  • 什么TNND叫做“近期账号安全问题突出,我们再次提醒广大用户注意账号安全。”
    这种事情的发生是用户的问题么,完全是网站的问题。这种事情面前,无论用户使用神马密码都是无力的。
    所有网站随机密码虽然靠谱,但也真心很不方便。电脑上还可以用那些软件登录,到了手机上呢。敲入一个字母大小写数字符号混合的密码真的很麻烦。
  • 2012/1/5 19:47:59   支持(21)反对(15) 回复
  • 30.安卓
  • 计算机时代真恐怖,不知道导弹发射密码泄漏了吗?
  • 2012/1/5 20:30:00   支持(17)反对(11) 回复
  • 31.编程入门
  • 我已经麻木了,只能是希望其他网站注意点吧。
  • 2012/1/5 20:47:27   支持(17)反对(11) 回复
  • 32.Aaron
  • 曾经忘记新浪微博的登录名,去咨询的时候就被问及秘密前3位,不知道如果被加密,这个是怎么校对的。他们解释有专门软件可以办到。我迷惑。。。
  • 2012/1/11 13:48:06   支持(17)反对(11) 回复
  • 34.月下柳叶风
  • 新浪微博的密码也是明文保存?
  • 2012/1/5 15:32:06   支持(24)反对(19) 回复
  • 35.微博客服
  • 新浪爱问漏洞已经紧急修复,再次提醒大家注意帐号安全,新浪微博用户帐号信息采用加密存储,请您放心。
  • 2012/1/5 16:17:37   支持(21)反对(16) 回复
  • 37.长胖的小胖子
  • 注入。。。新浪太低级了。。。招的什么程序员。。。
  • 2012/1/5 18:45:50   支持(16)反对(11) 回复
  • 39.共_军
  • 这事告诫了我们技术人员和PM,用户的数据是手雷该扔时就得扔,我曾接手某产品时也存在某些问题,不过早被我删干净了,但我还是不放心,玩过渗透的人都知道,任何人都无法保证你的产品和应用是安全的。
  • 2012/1/5 19:49:46   支持(17)反对(12) 回复
  • 41.yuange1975
  • 我的微博都被别人发博了,还让我放心?相信你们就像相信蒙牛一样,怎么死的都不知道。
  • 2012/1/5 16:35:03   支持(18)反对(14) 回复
  • 42.我也来试试
  • 看来不得不相信阴谋论了,而且国内网站很多都不让用户删除账户,我决定不再注册国内网站,除非没有个人信息的一次性网站,并且用KeePass对每个网站生成一次性随机密码。
  • 2012/1/5 17:53:33   支持(20)反对(16) 回复
  • 43.陸重輝
  • 30萬這個數是怎樣得出的呢?
  • 2012/1/5 19:05:12   支持(19)反对(15) 回复
  • 44.板子
  • 他的意思是服务器需要密码才可以登录
  • 2012/1/5 19:41:03   支持(17)反对(13) 回复
  • 45.水果v糖糖
  • 这批账号有哪些呀?能通知下么。反正我的微博密码被泄露了
  • 2012/1/5 19:45:53   支持(15)反对(11) 回复
  • 46.FiveInTheHole
  • 爱问的账号和微博的账号是一致的吧?都是明文存储的?
  • 2012/1/5 20:01:23   支持(21)反对(17) 回复
  • 47.苑文筱
  • 你们的网站如果程序设计有漏洞,又不定期做第三方安全测试,更可怕的是还明文存储密码,用户再怎么注意也没用!
  • 2012/1/6 0:23:52   支持(15)反对(11) 回复
  • 48.早喵
  • 昨天在推上看到这个消息的- -,不过游侠网是先通知新浪,然后再发布文章的= =
  • 2012/1/6 13:54:21   支持(16)反对(12) 回复
  • 49.cifer
  • 这么大的互联网企业,竟然还存在sql漏洞
  • 2012/1/8 22:28:08   支持(16)反对(12) 回复
  • 50.赵燕云青
  • iask中大部分用户是明文保存密码!!!!!!!!新浪作何解释?
  • 2012/1/5 14:34:57   支持(14)反对(11) 回复
  • 51.曹玉骥
  • 存在必合理,有历史问题,也有责任心的问题
  • 2012/1/5 15:49:32   支持(17)反对(14) 回复
  • 52.Windyj
  • 怎么回避了明文密码的问题!存的是明文密码你们怎么保护,告诉网友们知道一下!!
  • 2012/1/5 18:37:07   支持(11)反对(8) 回复
  • 53.悲催的被盗者
  • 密码已经被盗并修改的怎么办?微博帐号和安全邮箱都是新浪邮箱为登录名,现在密码均被盗并修改,密码无法取回!(为什么说我是发布广告信息????)
  • 2012/1/5 20:05:16   支持(11)反对(8) 回复
  • 54.清逸居士
  • 恐怖,太恐怖了,这年头没一个信得过了,太TM啃爹了!!!
  • 2012/1/6 9:06:24   支持(20)反对(17) 回复
  • 55.格瑞特GR8WP
  • 不得不说,进来最热闹的就是密码泄露问题了。
  • 2012/1/6 21:38:45   支持(14)反对(11) 回复
  • 56.症候来时开始撸比比西腐尔摩斯2
  • 渣浪果然不靠谱。所谓的加密保存密码就是在说谎。
  • 2012/1/5 14:42:42   支持(17)反对(15) 回复
  • 57.大象宝
  • 今天早上我用手机UCWEB改了微博密码,然后再用andriod 手机客户端登上去,居然不用新密码,感觉是客户端不用每次验证密码啊? 这里面是不是有漏洞呢?
  • 2012/1/5 14:47:32   支持(17)反对(15) 回复
  • 58.KIM-暮霭楚天
  • 明文密码。这个词要害死很多人。
  • 2012/1/5 16:07:56   支持(24)反对(22) 回复
  • 59.无锡孟庆玲
  • 感觉新浪找回密码的方法太原始了!
  • 2012/1/5 16:28:17   支持(18)反对(16) 回复
  • 60.长心力
  • 是你们的责任反而叫我们注意安全?!
  • 2012/1/5 16:58:19   支持(19)反对(17) 回复
  • 61.yuange1975
  • 没有哪个站点出事,把责任搞清楚了的,也没有看到哪个站点相关人员被扣奖金什么的。
  • 2012/1/5 17:05:07   支持(19)反对(17) 回复
  • 62.ttissing
  • 爱问太失败了,只有30万登录用户。
  • 2012/1/5 17:20:37   支持(14)反对(12) 回复
  • 63.strider
  • 可不可以这么说,国内几乎所有的网站都是明文保存密码的?
  • 2012/1/5 19:22:47   支持(19)反对(17) 回复
  • 64.依然寒冰雨
  • 我勒个去,终于肯出来承认了??
  • 2012/1/5 20:09:08   支持(16)反对(14) 回复
  • 65.我也来试试
  • 主邮箱还用国内邮件服务商的注意了,阴谋论宁可信其有,想想你的邮箱密码是明文存储,邮件摆在那随时供政府调阅。。。
  • 2012/1/5 20:58:50   支持(22)反对(20) 回复
  • 67.gouyn12
  • 新浪爱问也中招了,呵呵,知名品牌网站越来越多呀,可恨的是明文保存密码
  • 2012/1/6 20:39:33   支持(19)反对(17) 回复
  • 68.桌不凡
  • 又一个大神从佛坛上摔下来了。
  • 2012/1/5 17:46:45   支持(13)反对(12) 回复
  • 70.上鼎设计
  • 晕,那不是大家都要改密码了?
  • 2012/1/7 11:45:07   支持(17)反对(16) 回复
  • 71.大不易居
  • sql注入还管用啊,ADO.NET里面的dataadapter.XXXXcommand.parameter不是专门整治这个的吗?
  • 2012/1/5 14:35:19   支持(15)反对(15) 回复
  • 72.xiaop的一些事一些情
  • 叉,浪也明文啊。。
  • 2012/1/5 14:52:23   支持(13)反对(13) 回复
  • 73.淘氣天尊
  • 曾经被盗过,就因为取回的过程繁琐,所以丢失了账号未在领回!(题外话:曾经每天和你们爱问的编辑聊天,QQ号在那里,身份在那里,为什么不能简化程序呢?)
  • 2012/1/5 16:20:32   支持(16)反对(16) 回复
  • 74.最后的xinca
  • “錯誤都是用戶的,功勞都是廠商自己的。”這就是大公司的邏輯。
  • 2012/1/5 17:16:45   支持(19)反对(19) 回复
  • 75.神棍敌人姐
  • 恩, 这是很好的态度, 老子赞你一个!
  • 2012/1/5 17:56:26   支持(15)反对(15) 回复
  • 77.千山万水原创歌曲
  • 新浪也沦陷了,泄密无处可逃,我们还实名吗???据说很多微博达人都是实名的,那太危险了!!
  • 2012/1/5 21:11:08   支持(18)反对(18) 回复
  • 78.情侣空间
  • 我就不明白了 我这个刚学编程的菜鸟都是到密码不用明文存储 为什么这些知名的大型站 居然都用明文呢
  • 2012/1/6 10:43:05   支持(24)反对(24) 回复
  • 79.郑勇inon
  • 哇塞,你这也出问题啦?最近改帐号登录密码改到手软!!
  • 2012/1/5 15:26:17   支持(17)反对(18) 回复
  • 80.F_UCK_TX
  • 加你妹啊加,那么大密码在那,直接select出来,这TMD加密,你是弱智还是白痴,还是所有人都看不懂!新浪安全能靠谱点不,能找个靠谱点的人维护微博么,操,MLGBD
  • 2012/1/5 16:45:42   支持(14)反对(15) 回复
  • 81.懒人_糕手
  • 微博密码泄漏...上百万用户密码明文出现在互联网!!!!
  • 2012/1/5 17:30:18   支持(13)反对(14) 回复
  • 82.株洲硬质合金
  • 新浪这么大的网站,密码管理也太落后了,都明文
    这些网站都是注册容易,想真正撤销自己的资料就难了
  • 2012/1/6 11:45:49   支持(15)反对(16) 回复
  • 84.行摄天下
  • 看来国内网站用明文保存密码是应领导要求这个说法很有可能是真的……
  • 2012/1/7 15:41:08   支持(17)反对(18) 回复
  • 86.Melkor
  • 怎么变成了游侠网……明明是一个人搞的……
  • 2012/1/5 15:26:05   支持(16)反对(18) 回复
  • 87.近地寂寞大石头
  • 我国关于个人隐私这个部分不是十分看重,倒是对监管关心的要命。
  • 2012/1/5 16:02:07   支持(11)反对(13) 回复
  • 88.高校网络中心
  • 这背后必然有一个合理的理由
  • 2012/1/5 16:05:02   支持(15)反对(17) 回复
  • 89.沈蚊
  • 修改了密码也登录不了啊……= =
  • 2012/1/5 16:39:54   支持(17)反对(19) 回复
  • 90.RonnieHua
  • 我绝对登录过爱问下资料,不止一次,但是新浪并没有要求我修改密码!!!
  • 2012/1/5 17:59:21   支持(12)反对(14) 回复
  • 91.神马想浮云
  • 官方消息:微博的密码也泄露了。
  • 2012/1/5 19:27:29   支持(14)反对(16) 回复
  • 92.52后街
  • 我密码门的前一个星期注册的微博就没了,哎
  • 2012/1/5 19:37:10   支持(15)反对(17) 回复
  • 95.亦风行
  • 明文存储用户密码,简直不把用户安全当回事。很多名人的密码都被轻易获取了,比如魔术师刘谦。
  • 2012/1/6 17:30:48   支持(13)反对(15) 回复
  • 96.bush
  • 新浪愛問很早就有,微博是2009以後出來的,應該不會明文保存。
  • 2012/1/6 20:43:36   支持(13)反对(15) 回复
  • 97.凉风有兴
  • 我擦,新浪也是明文密码,不得不相信某些阴谋论是真的。。。。
  • 2012/1/5 14:39:48   支持(25)反对(28) 回复
  • 98.宗秀倩
  • 马上改。。可是已经忘记密码是多少了。。
  • 2012/1/5 15:56:18   支持(13)反对(16) 回复
  • 100.山涌水叠
  • 我只想问,你们为什么用明文存密码!!!!
  • 2012/1/5 18:10:00   支持(14)反对(17) 回复
  • 101.向阳_Miao
  • 密码一个个泄露,大型互联网公司一个个都不落单,网民人人心中都不安。
  • 2012/1/5 19:02:17   支持(16)反对(19) 回复
  • 102.techolics
  • 现在开始重视密码的安全性了。都用KeePass生成随机密码,用Dropbox在机器和手机之间同步。
  • 2012/1/6 22:32:40   支持(13)反对(16) 回复
  • 103.rabol小弟
  • sql注入啊……难道数据库没做墙么?
  • 2012/1/5 14:33:27   支持(18)反对(22) 回复
  • 104.上上签乱吓吓
  • 我刚注册的,不要改密码把。
  • 2012/1/5 17:08:59   支持(15)反对(19) 回复
  • 105.裴炀_Catholicon
  • 只有30万?太扯了!鬼才信,而且全站SSO怎么可能只和爱问有关?别把大家智商看得太低了
  • 2012/1/5 17:26:26   支持(20)反对(24) 回复
  • 107.一盆花
  • 新浪的公关没做好,这种高危漏洞即使修复了也不能公布的。给钱封口啊。
  • 2012/1/5 14:58:12   支持(17)反对(22) 回复
  • 109.360安全卫士
  • 再次提醒广大网友:对于微博、邮箱、IM、网银等重要账号一定要单独设置高强度密码,并且定期的进行密码更新,登陆账户时发现有来自官方的安全提示,请及时加强密码安全策略。
  • 2012/1/5 17:50:38   支持(10)反对(15) 回复
  • 113.长天之云
  • 明文密码,新浪又一次撒谎,当场被抓。 不想说了,迅速去改密码了。
  • 2012/1/5 18:42:55   支持(19)反对(25) 回复
  • 115.Conan06
  • 早先,针对有消息称新浪微博用户信息外泄一事,新浪曾表示,新浪微博帐号信息采用加密存储,并未出现被盗情况。
  • 2012/1/5 19:58:29   支持(14)反对(20) 回复
  • 116.David小贝
  • 新浪都能出问题……还有多少网站是可以完全信任的……
  • 2012/1/5 16:48:37   支持(9)反对(16) 回复
  • 117.骄_阳
  • 我擦,新浪竟然的sql注入这种简单的侵略不做防护。
  • 2012/1/5 15:09:50   支持(16)反对(24) 回复
  • 118.Itabashi
  • 新浪还是把微博的悄悄关注给取消了吧。
  • 2012/1/5 16:14:43   支持(13)反对(21) 回复
  • 120.四六成双
  • 惨.中招. 凌晨在别的地区被登录.
  • 2012/1/5 18:12:54   支持(11)反对(20) 回复
  • 121.VipinChan
  • 重点是明文密码,CSDN事件时,官方不是申明微博帐号十分安全,全是密文么?
  • 2012/1/5 18:23:34   支持(11)反对(20) 回复
  • 124.Tracy
  • 一波未平··一波又起··我都淡定了
  • 2012/1/6 17:02:41   支持(15)反对(29) 回复
  • 125.so898
  • 实在是有些搞不懂,新浪的用户数据库应该统一一个的,怎么会有某些地方是明文这种说法
  • 2012/1/5 23:38:11   支持(16)反对(31) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.