写这篇帖子的网友为了证明新浪微博确实存在漏洞,便把魔术师刘谦的微博做了一次示范,利用漏洞轻易登录了刘谦的微博。刘谦得知后通过微博表示非常意外,不过这位网友称,他已经将此漏洞反映给了新浪微博,目前已经修复。 网友轻易获取刘谦微博密……
新年伊始,一则技术讨论帖在网上引起不小的波动,帖子指出新浪微博用户密码存在泄露漏洞,利用这一漏洞可以轻易得到用户的账号密码。写这篇帖子的网友为了证明新浪微博确实存在漏洞,便把魔术师刘谦的微博做了一次示范,利用漏洞轻易登录了刘谦的微博。刘谦得知后通过微博表示非常意外,不过这位网友称,他已经将此漏洞反映给了新浪微博,目前已经修复。
网友轻易获取刘谦微博密码
1月4日,一位提供信息与网络安全服务的网友“张百川”在微博中分享了一篇博文,名为《2012年新浪微博用户密码泄露漏洞》,微博网名为“峙酿君edwardz”的网友在今年元旦发现了这一漏洞,这位网友介绍,漏洞的类型为sql注射,安全等级被划分为高。
“峙酿君edwardz”在文章开头声明,该漏洞发现后他已经联系新浪官方 ,目前漏洞已经修补,而他所公布的内容也仅供参考。文中称,新浪网iask存在sql注射漏洞,利用漏洞就可以读取数据库内容,文中还列出了漏洞利用方式,通过构造数据库查询语句获得用户信息。
为了更为直观,“峙酿君edwardz”直接用著名魔术师刘谦的微博做起了示范,在刘谦的微博中轻易获得用户数字id后,通过构造就直接获得了刘谦的账号和密码。演示中,这位网友果然成功登录了刘谦微博,私信、聊天记录可以轻易看到。
“峙酿君edwardz”在文中一再申明,拿刘谦的账号来测试只是为了致敬,并没有恶意 。此前天涯、csdn等用户被泄露,这位网友表示,其实网络泄密涉及更多,获取微博私人信息不是难事,甚至还能登录他人的msn。最后博文称,这篇文章是在新浪打了补丁之后才发出来的,因此这一漏洞不会再造成影响。
恐怖,为什么拿我做示范?
此文章在网络上被人转载后,被测试的刘谦就在1月4日连发博文,“喂喂喂!太恐怖了吧!为什么拿我做示范!”“不……不会换密码啦,惨了,秘密都被看光了。”对于刘谦的质疑,“峙酿君edwardz”在微博中回应:“因为很喜欢你”。
众网友在得知这一漏洞后也显得很紧张,很多网友担心,自己的微博或许早就被人盗了,“这么简单就能盗取账号和密码,那我的账号会不会有问题啊?真是没有隐私、没有安全感啊!”“我说我刚才的账户异常,还有人拿我的账户一顿乱发广告,新浪的安全性也太差了!”网友“wxc090”写道。对此,网友对新浪微博的安全性也提出质疑,“长胖的小胖子”就表示:“新浪太低级了,招的什么程序员。”网友“yuange1975”说:“作为新浪微博明文密码保存的受害人,微博被黑,可能私信被看,作为著名安全专家,被怀疑安全措施不到位,声誉严重受损。新浪负责人出来说句话,怎么赔偿吧?”
网友“程序员的那些事”在微博中表示,“密码加密保存是非常容易实现的,即使明文保存了,也很容易转为密文。各大网站相继暴露的明文密码实在令人费解。”
建议用户改用复杂点的密码
1月5日下午,城市信报记者通过微博联系发现漏洞的网友“峙酿君edwardz”,不过到截稿前并未得到回复。记者联系到了分享博文的网络安全专家张百川,他表示,可以确定新浪存在漏洞,不过目前已经修改了,“这位网友在测试反馈后,新浪就已经修改了漏洞,现在已经无法获取网友的账号密码了。”张百川说,新浪微博多次进行了安全升级,目前安全级别还算不错 ,“网上的漏洞是存在的,可能有不法分子利用这些漏洞做非法的事。”
随后,城市信报记者咨询了新浪微博客服电话,对于网上盛传的微博漏洞,工作人员不置可否,她告诉记者:“我们也遇到过用户反映账号被盗的情况,至于是不是这个漏洞这不好说。”对此,为了加强微博的安全性,工作人员建议用户把密码换成较为复杂的组合,“建议英文、数字同时使用,并且将登录密码和手机绑定,这样的安全性能更好一些。”记者 纪国亮