月光博客 » 业界动态 » 新浪爱问用户明文密码泄露

新浪爱问用户明文密码泄露

  “乌云”飘走了,“游侠”又飞过来。昨日,安全网站游侠安全网发布消息称,新浪爱问存在用户密码泄露漏洞,同时明文保存用户密码。

  该网站称,新浪爱问存在SQL注入漏洞,利用此漏洞可读取新浪爱问数据库内容,包括明文密码在内的大量新浪用户信息。该网站测试了不少明星,基本上都能通过微薄获取他们的私人信息。

  报告此漏洞的专业安全人员对着名魔术师刘谦的微博进行了尝试性攻击,取得成功,可以直接找到知名魔术师刘谦的用户名和密码。刘谦得知此事后在微博上连呼“太恐怖了吧”。

  据悉,目前,新浪已经修复其漏洞。

  新浪爱问在微博发布消息称:“由于新浪爱问存在系统漏洞,可能导致约30万登录过爱问的新浪帐号存在被盗号风险,我们已紧急修复此漏洞。这批帐号已被保护,需修改密码后才能使用。由此给用户带来的不便,我们深表歉意。近期账号安全问题突出,我们再次提醒广大用户注意账号安全。”

  早先,针对有消息称新浪微博用户信息外泄一事,新浪曾表示,新浪微博帐号信息采用加密存储,并未出现被盗情况。

个人密码安全策略

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    四六成双   说道:
    "再次提醒广大用户注意账号安全" 干! 我们注意有鸟用???? 你tmd 明文存取, SQL注入漏洞. 再长的密码有屁用?
    支持(48反对(26回复
  1. 2
    hulhut   说道:
    这么多泄漏的网站,为什么还要用明文密码,用明文密码你能赚钱不
    支持(28反对(12回复
  1. 3
    ladymama   说道:
    为什么国内网站都明文保存呢
    支持(24反对(9回复
  1. 4
    川川de樱花   说道:
    只有30万?太扯了!鬼才信,而且全站SSO怎么可能只和爱问有关?别把大家智商看得太低了
    支持(27反对(14回复
  1. 5
    阿東丶Vincent   说道:
    为什么刘谦的密码会被明文泄露?请回答
    支持(22反对(9回复
  1. 6
    马丁靴   说道:
    泄露事件有没完结篇?
    支持(22反对(9回复
  1. 7
    test132   说道:
    现在爱问基本没什么人维护,出问题是必然的。
    支持(23反对(11回复
  1. 8
    世上荷风   说道:
    微博是否安全?
    支持(22反对(10回复
  1. 9
    360网站安全检测   说道:
    要抓紧修复啊!
    支持(20反对(9回复
  1. 10
    美国VPN   说道:
    帐号赠送,要的快。
    支持(24反对(13回复
  1. 11
    IT168网络安全频道   说道:
    元旦归来刚消停两天又开始了~
    支持(23反对(12回复
  1. 12
    大不易居   说道:
    反正我就没把新浪微博当回事,泄漏就泄露。 google账户泄密才会让我紧张
    密码三个1 于 2012-1-5 17:51:06 回复
    Google 的秘密存储就“绝不可能”是明文了。
    支持(17反对(7回复
  1. 13
    晨露博客   说道:
    要不要这么积极啊。。
    支持(21反对(11回复
  1. 14
    呵呵   说道:
    呵呵危机依然存在,没人主动自查。真可怕。
    支持(24反对(15回复
  1. 15
    echo_蝈蝈   说道:
    明文也tmd太坑爹了
    支持(21反对(12回复
  1. 16
    蜀黍兜兜里有糖   说道:
    你们敢再2一点吗?小学生都知道密码要加密,神马玩意!
    支持(27反对(18回复
  1. 17
    f1eecy   说道:
    又是明文密码哦~
    支持(20反对(11回复
  1. 18
    liangfei0201   说道:
    如果登录新浪爱问是明文密码,表示主站密码来源也是明文,而不是不可逆的Digest密文存储。
    支持(18反对(9回复
  1. 19
    锦亭二娃   说道:
    修改密码已经不能保证我们的安全了
    支持(19反对(10回复
  1. 20
    澎澎nightmoon   说道:
    那链接已经被封了。。。用不用这么快啊。。。
    支持(17反对(9回复
  1. 看来国内网站用明文保存密码是应领导要求这个说法很有可能是真的……
    支持(38反对(31回复
  1. 22
    爱微博客   说道:
    不知道泄了多少回了,只是这个黑客比较善良而已
    支持(29反对(22回复
  1. 23
    挨踢茶馆   说道:
    挺好的,发现了漏洞没有进行恶意性攻击哈。
    支持(22反对(15回复
  1. 24
    铁观音   说道:
    最近是怎么了?前阶段不是也风言有几个银行的账号、密码泄露出去了吗?天呐!太恐怖了!
    支持(22反对(15回复
  1. 25
    andrew   说道:
    为啥要明文存放?密码复杂有奶哦用?注册时还显示密码的强弱?有毛病
    支持(22反对(15回复
  1. 26
    seks   说道:
    刘谦也登录过爱问?
    支持(15反对(9回复
  1. 27
    荆凤山   说道:
    每一个泄漏我全中招!!!
    支持(19反对(13回复
  1. 28
    茹荣   说道:
    以后密码都得存随机码了
    支持(19反对(13回复
  1. 29
    xx   说道:
    什么TNND叫做“近期账号安全问题突出,我们再次提醒广大用户注意账号安全。”
    这种事情的发生是用户的问题么,完全是网站的问题。这种事情面前,无论用户使用神马密码都是无力的。
    所有网站随机密码虽然靠谱,但也真心很不方便。电脑上还可以用那些软件登录,到了手机上呢。敲入一个字母大小写数字符号混合的密码真的很麻烦。
    支持(21反对(15回复
  1. 30
    安卓   说道:
    计算机时代真恐怖,不知道导弹发射密码泄漏了吗?
    支持(17反对(11回复
  1. 31
    编程入门   说道:
    我已经麻木了,只能是希望其他网站注意点吧。
    支持(17反对(11回复
  1. 32
    Aaron   说道:
    曾经忘记新浪微博的登录名,去咨询的时候就被问及秘密前3位,不知道如果被加密,这个是怎么校对的。他们解释有专门软件可以办到。我迷惑。。。
    支持(17反对(11回复
  1. 33
    小红帽   说道:
    呵呵…
    支持(23反对(18回复
  1. 34
    月下柳叶风   说道:
    新浪微博的密码也是明文保存?
    支持(24反对(19回复
  1. 35
    微博客服   说道:
    新浪爱问漏洞已经紧急修复,再次提醒大家注意帐号安全,新浪微博用户帐号信息采用加密存储,请您放心。
    支持(21反对(16回复
  1. 36
    蔬菜岛   说道:
    好久没用爱问了。。
    支持(16反对(11回复
  1. 37
    长胖的小胖子   说道:
    注入。。。新浪太低级了。。。招的什么程序员。。。
    支持(16反对(11回复
  1. 38
    北漂de蚁族   说道:
    囧,又中招了。
    支持(21反对(16回复
  1. 39
    共_军   说道:
    这事告诫了我们技术人员和PM,用户的数据是手雷该扔时就得扔,我曾接手某产品时也存在某些问题,不过早被我删干净了,但我还是不放心,玩过渗透的人都知道,任何人都无法保证你的产品和应用是安全的。
    支持(17反对(12回复
  1. 40
    echo_蝈蝈   说道:
    明文也tmd太坑爹了
    支持(18反对(14回复
  1. 41
    yuange1975   说道:
    我的微博都被别人发博了,还让我放心?相信你们就像相信蒙牛一样,怎么死的都不知道。
    支持(18反对(14回复
  1. 42
    我也来试试   说道:
    看来不得不相信阴谋论了,而且国内网站很多都不让用户删除账户,我决定不再注册国内网站,除非没有个人信息的一次性网站,并且用KeePass对每个网站生成一次性随机密码。
    支持(20反对(16回复
  1. 43
    陸重輝   说道:
    30萬這個數是怎樣得出的呢?
    支持(19反对(15回复
  1. 44
    板子   说道:
    他的意思是服务器需要密码才可以登录
    支持(17反对(13回复
  1. 45
    水果v糖糖   说道:
    这批账号有哪些呀?能通知下么。反正我的微博密码被泄露了
    支持(15反对(11回复
  1. 46
    FiveInTheHole   说道:
    爱问的账号和微博的账号是一致的吧?都是明文存储的?
    支持(21反对(17回复
  1. 47
    苑文筱   说道:
    你们的网站如果程序设计有漏洞,又不定期做第三方安全测试,更可怕的是还明文存储密码,用户再怎么注意也没用!
    支持(15反对(11回复
  1. 48
    早喵   说道:
    昨天在推上看到这个消息的- -,不过游侠网是先通知新浪,然后再发布文章的= =
    支持(16反对(12回复
  1. 49
    cifer   说道:
    这么大的互联网企业,竟然还存在sql漏洞
    支持(16反对(12回复
  1. 50
    赵燕云青   说道:
    iask中大部分用户是明文保存密码!!!!!!!!新浪作何解释?
    支持(14反对(11回复
  1. 51
    曹玉骥   说道:
    存在必合理,有历史问题,也有责任心的问题
    支持(17反对(14回复
  1. 52
    Windyj   说道:
    怎么回避了明文密码的问题!存的是明文密码你们怎么保护,告诉网友们知道一下!!
    支持(11反对(8回复
  1. 53
    悲催的被盗者   说道:
    密码已经被盗并修改的怎么办?微博帐号和安全邮箱都是新浪邮箱为登录名,现在密码均被盗并修改,密码无法取回!(为什么说我是发布广告信息????)
    支持(11反对(8回复
  1. 54
    清逸居士   说道:
    恐怖,太恐怖了,这年头没一个信得过了,太TM啃爹了!!!
    支持(20反对(17回复
  1. 55
    格瑞特GR8WP   说道:
    不得不说,进来最热闹的就是密码泄露问题了。
    支持(14反对(11回复
  1. 渣浪果然不靠谱。所谓的加密保存密码就是在说谎。
    支持(17反对(15回复
  1. 57
    大象宝   说道:
    今天早上我用手机UCWEB改了微博密码,然后再用andriod 手机客户端登上去,居然不用新密码,感觉是客户端不用每次验证密码啊? 这里面是不是有漏洞呢?
    支持(17反对(15回复
  1. 58
    KIM-暮霭楚天   说道:
    明文密码。这个词要害死很多人。
    支持(24反对(22回复
  1. 59
    无锡孟庆玲   说道:
    感觉新浪找回密码的方法太原始了!
    支持(18反对(16回复
  1. 60
    长心力   说道:
    是你们的责任反而叫我们注意安全?!
    支持(19反对(17回复
  1. 61
    yuange1975   说道:
    没有哪个站点出事,把责任搞清楚了的,也没有看到哪个站点相关人员被扣奖金什么的。
    支持(19反对(17回复
  1. 62
    ttissing   说道:
    爱问太失败了,只有30万登录用户。
    支持(14反对(12回复
  1. 63
    strider   说道:
    可不可以这么说,国内几乎所有的网站都是明文保存密码的?
    支持(19反对(17回复
  1. 64
    依然寒冰雨   说道:
    我勒个去,终于肯出来承认了??
    支持(16反对(14回复
  1. 65
    我也来试试   说道:
    主邮箱还用国内邮件服务商的注意了,阴谋论宁可信其有,想想你的邮箱密码是明文存储,邮件摆在那随时供政府调阅。。。
    支持(22反对(20回复
  1. 66
    Weetr   说道:
    这还没完了= =~
    支持(22反对(20回复
  1. 67
    gouyn12   说道:
    新浪爱问也中招了,呵呵,知名品牌网站越来越多呀,可恨的是明文保存密码
    支持(19反对(17回复
  1. 68
    桌不凡   说道:
    又一个大神从佛坛上摔下来了。
    支持(13反对(12回复
  1. 69
    EdisonTsai   说道:
    实名制的前奏~!
    支持(18反对(17回复
  1. 70
    上鼎设计   说道:
    晕,那不是大家都要改密码了?
    支持(17反对(16回复
  1. 71
    大不易居   说道:
    sql注入还管用啊,ADO.NET里面的dataadapter.XXXXcommand.parameter不是专门整治这个的吗?
    支持(15反对(15回复
  1. 叉,浪也明文啊。。
    支持(13反对(13回复
  1. 73
    淘氣天尊   说道:
    曾经被盗过,就因为取回的过程繁琐,所以丢失了账号未在领回!(题外话:曾经每天和你们爱问的编辑聊天,QQ号在那里,身份在那里,为什么不能简化程序呢?)
    支持(16反对(16回复
  1. 74
    最后的xinca   说道:
    “錯誤都是用戶的,功勞都是廠商自己的。”這就是大公司的邏輯。
    支持(19反对(19回复
  1. 75
    神棍敌人姐   说道:
    恩, 这是很好的态度, 老子赞你一个!
    支持(15反对(15回复
  1. 76
    金庸茶馆   说道:
    这个世界真恐怖
    支持(15反对(15回复
  1. 77
    千山万水原创歌曲   说道:
    新浪也沦陷了,泄密无处可逃,我们还实名吗???据说很多微博达人都是实名的,那太危险了!!
    支持(18反对(18回复
  1. 78
    情侣空间   说道:
    我就不明白了 我这个刚学编程的菜鸟都是到密码不用明文存储 为什么这些知名的大型站 居然都用明文呢
    支持(24反对(24回复
  1. 79
    郑勇inon   说道:
    哇塞,你这也出问题啦?最近改帐号登录密码改到手软!!
    支持(17反对(18回复
  1. 80
    F_UCK_TX   说道:
    加你妹啊加,那么大密码在那,直接select出来,这TMD加密,你是弱智还是白痴,还是所有人都看不懂!新浪安全能靠谱点不,能找个靠谱点的人维护微博么,操,MLGBD
    支持(14反对(15回复
  1. 81
    懒人_糕手   说道:
    微博密码泄漏...上百万用户密码明文出现在互联网!!!!
    支持(13反对(14回复
  1. 82
    株洲硬质合金   说道:
    新浪这么大的网站,密码管理也太落后了,都明文
    这些网站都是注册容易,想真正撤销自己的资料就难了
    支持(15反对(16回复
  1. 83
    byiceb   说道:
    继续自己打脸,呵呵
    支持(14反对(15回复
  1. 84
    行摄天下   说道:
    看来国内网站用明文保存密码是应领导要求这个说法很有可能是真的……
    支持(17反对(18回复
  1. 85
    Via梁仔   说道:
    月光哥不怕被和谐啊?
    支持(13反对(15回复
  1. 86
    Melkor   说道:
    怎么变成了游侠网……明明是一个人搞的……
    支持(16反对(18回复
  1. 87
    近地寂寞大石头   说道:
    我国关于个人隐私这个部分不是十分看重,倒是对监管关心的要命。
    支持(11反对(13回复
  1. 88
    高校网络中心   说道:
    这背后必然有一个合理的理由
    支持(15反对(17回复
  1. 89
    沈蚊   说道:
    修改了密码也登录不了啊……= =
    支持(17反对(19回复
  1. 90
    RonnieHua   说道:
    我绝对登录过爱问下资料,不止一次,但是新浪并没有要求我修改密码!!!
    支持(12反对(14回复
  1. 91
    神马想浮云   说道:
    官方消息:微博的密码也泄露了。
    支持(14反对(16回复
  1. 92
    52后街   说道:
    我密码门的前一个星期注册的微博就没了,哎
    支持(15反对(17回复
  1. 93
    内涵图   说道:
    网络好危险啊
    支持(14反对(16回复
  1. 94
    bb__L2t   说道:
    俄想問俄现在微薄怎么办
    支持(11反对(13回复
  1. 95
    亦风行   说道:
    明文存储用户密码,简直不把用户安全当回事。很多名人的密码都被轻易获取了,比如魔术师刘谦。
    支持(13反对(15回复
  1. 96
    bush   说道:
    新浪愛問很早就有,微博是2009以後出來的,應該不會明文保存。
    支持(13反对(15回复
  1. 97
    凉风有兴   说道:
    我擦,新浪也是明文密码,不得不相信某些阴谋论是真的。。。。
    支持(25反对(28回复
  1. 98
    宗秀倩   说道:
    马上改。。可是已经忘记密码是多少了。。
    支持(13反对(16回复
  1. 99
    vipdalian   说道:
    我草 天天改密码 。。
    支持(12反对(15回复
  1. 100
    山涌水叠   说道:
    我只想问,你们为什么用明文存密码!!!!
    支持(14反对(17回复
  1. 101
    向阳_Miao   说道:
    密码一个个泄露,大型互联网公司一个个都不落单,网民人人心中都不安。
    支持(16反对(19回复
  1. 102
    techolics   说道:
    现在开始重视密码的安全性了。都用KeePass生成随机密码,用Dropbox在机器和手机之间同步。
    支持(13反对(16回复
  1. 103
    rabol小弟   说道:
    sql注入啊……难道数据库没做墙么?
    支持(18反对(22回复
  1. 104
    上上签乱吓吓   说道:
    我刚注册的,不要改密码把。
    支持(15反对(19回复
  1. 105
    裴炀_Catholicon   说道:
    只有30万?太扯了!鬼才信,而且全站SSO怎么可能只和爱问有关?别把大家智商看得太低了
    支持(20反对(24回复
  1. 106
    拾遗记之家   说道:
    sql注入啊……
    支持(20反对(24回复
  1. 107
    一盆花   说道:
    新浪的公关没做好,这种高危漏洞即使修复了也不能公布的。给钱封口啊。
    支持(17反对(22回复
  1. 108
    鹿城词话   说道:
    怎么也不安全~
    支持(13反对(18回复
  1. 109
    360安全卫士   说道:
    再次提醒广大网友:对于微博、邮箱、IM、网银等重要账号一定要单独设置高强度密码,并且定期的进行密码更新,登陆账户时发现有来自官方的安全提示,请及时加强密码安全策略。
    支持(10反对(15回复
  1. 110
    sunring   说道:
    天天这么炒作有意思吗?
    支持(13反对(18回复
  1. 111
    潘田博客   说道:
    我一天改一次密码
    支持(18反对(24回复
  1. 112
    大鱼big_fish   说道:
    你们是吃屡屎的啊
    支持(17反对(23回复
  1. 113
    长天之云   说道:
    明文密码,新浪又一次撒谎,当场被抓。 不想说了,迅速去改密码了。
    支持(19反对(25回复
  1. 114
    Tarazed   说道:
    这个30万是怎么出来的?
    支持(12反对(18回复
  1. 115
    Conan06   说道:
    早先,针对有消息称新浪微博用户信息外泄一事,新浪曾表示,新浪微博帐号信息采用加密存储,并未出现被盗情况。
    支持(14反对(20回复
  1. 116
    David小贝   说道:
    新浪都能出问题……还有多少网站是可以完全信任的……
    支持(9反对(16回复
  1. 117
    骄_阳   说道:
    我擦,新浪竟然的sql注入这种简单的侵略不做防护。
    支持(16反对(24回复
  1. 118
    Itabashi   说道:
    新浪还是把微博的悄悄关注给取消了吧。
    支持(13反对(21回复
  1. 119
    麦子   说道:
    有一个挂了,情何以堪啊
    支持(8反对(16回复
  1. 120
    四六成双   说道:
    惨.中招. 凌晨在别的地区被登录.
    支持(11反对(20回复
  1. 121
    VipinChan   说道:
    重点是明文密码,CSDN事件时,官方不是申明微博帐号十分安全,全是密文么?
    支持(11反对(20回复
  1. 122
    TouchFelix   说道:
    浪哥也用明文密码啊。。。
    支持(10反对(20回复
  1. 123
    春无眠   说道:
    那以前的积分肿么办嗫?
    支持(10反对(22回复
  1. 124
    Tracy   说道:
    一波未平··一波又起··我都淡定了
    支持(15反对(29回复
  1. 125
    so898   说道:
    实在是有些搞不懂,新浪的用户数据库应该统一一个的,怎么会有某些地方是明文这种说法
    支持(16反对(31回复

发表留言