据游侠网公布的信息显示,新浪爱问存在一个sql注射型漏洞,黑客可以利用这一漏洞直接读取爱问的数据库内容,包括明文密码在内的7000多万新浪用户信息存在被盗风险。而且因为部分用户的爱问账号与新浪微博账号存在关联,用户的新浪微博也存在风险。在漏洞说明中,漏洞发现者还以台湾魔术师刘谦的新浪微博账号为例进行演示,通过一系列步骤顺利取得了刘谦微博的账户和密码,并成功地登录了刘谦的微博。虽然游侠网在公布漏洞信息前,已将漏洞信息通知了新浪,该漏洞也已修复,但因新浪爱问数据库中存有明文密码,可能已经导致用户信息泄露,游侠还将这一漏洞的危害等级定级为“高危”。
游侠公布相应漏洞信息后,新浪也马上发布了公告进行回应,承认新浪爱问存在系统漏洞,并表示新浪爱问存在的这一漏洞已被修复。
记者昨日致电新浪,其相关负责人表示,目前并未发现有黑客在网络上公布新浪爱问的用户数据,新浪也已经修复了这一漏洞。新浪微博的用户密码均为加密保存,绝大多数的新浪微博账户并不存在安全风险。
