4月1日晚间，有网友在新浪微博公开优酷旗下的路由宝存在严重的安全隐患，采用HTTP协议明文传输用户的账号信息，用户名、密码等关键信息处于不设防的状态，可轻易被他人获取。另一方面，该网友还发现WooYun（乌云）在3月21日确认了路由宝的另外一个安全漏洞——路由宝可通过修改SN绑定任意账户，这一安全漏洞在提交十余天后被厂商确认，却依旧未得到修复。短时间优酷旗下的这一智能硬件接连爆出安全设计缺陷，初步估计所有路由宝用户的信息安全已处于高度风险之中。

路由宝是优酷前不久正式推出的智能路由器，由于用户可以通过此路由器分享闲置宽带流量获取佣金，被称之为可以赚钱的路由器。其原理主要通过P2P技术，让路由宝的用户成为分散在各地的视频数据缓存，在闲时通过上传缓存的数据为其他用户实现视频观看加速。路由宝用户可以通过这种分享宽带的方式，获得优酷土豆的代币，购买旗下的视频的增值服务。通过给予用户一定的回馈，低成本的获取闲置带宽的模式，对于智能路由器市场来说是一次值得肯定的尝试。虽然由于通过路由宝分享带宽资源获得的回报并不能提现，无法让用户获得现金收益，对这个商业模式的价值造成了一定程度的折损，但对于优酷土豆这种硬件新兵来说，这款路由器推出以来也确实取得了值得肯定的销售成绩。但或许正是因为对于这个新模式以及硬件市场的经验不足，服务意识与安全责任感没有跟上，忽视了路由宝的用户由于涉及到了财产的转移与变现，对安全的要求高于普通优酷土豆用户这一现实，最终导致了接连出现安全漏洞、危害用户利益的现状。

据了解，由于需要统计用户带宽分享情况，以及收益的代币主要用于增值服务的购买，路由宝用户赚取代币的时候必须在路由器管理端登录自己的优酷/土豆账号。而此次暴露的两个安全风险，均源于优酷在登录环节出现了设计失误和逻辑错误，不仅使用十分容易被截取的HTTP协议传输账号信息，并且用户名和密码等均采用明文传输，黑客获取这些关键信息的难度极低，可通过修改SN的方式在绑定任意账号这一隐患，更进一步加剧了账号信息泄露风险的破坏力，对路由宝用户分享带宽赚取的财产将形成极大的安全隐患，同时绑定在优酷土豆账号里的个人信息也面临大规模泄露的风险。

明文传输账号密码属于一种低级的常识性错误，很难想象这种事情发生在优酷土豆这种大型互联网公司身上。虽然考虑到速度和成本等因素，很多信息会采用明文传输，但是对于账号密码这种关键信息，一个负责任的网站是断然不会允许这种情况出现的。或许对于普通的优酷土豆用户来说，其账号信息一般不包含敏感信息安全需求量级较低，但路由宝用户通过分享自有资源赚取的有实质价值的虚拟财产绑定在优酷土豆账号中，其安全量级已经与电商、网银业务接近，账号密码为别人获取会使用户的财产安全处于巨大的风险之中。

另一方面，所有的硬件设备都应该有一个不能修改且唯一的序列号（SN），而路由宝把SN放在了Flash可写区，用户可通过命令任意修改，导致用户账号和硬件设备的配对关系可轻易被篡改。优酷对路由宝登录绑定账号这个直接与产品最大卖点和用户利益挂钩的关键环节，采取如此如此轻率的设计逻辑，且在安全漏洞被发现后响应缓慢、十余天后仍为采取任何补救措施，对用户财产和信息安全重视程度之低可见一斑，如此不负责任的态度与行为，在今夜用户于新浪微博曝光明文传输账号密码后，很可能会使路由宝用户在财产和信息方面蒙受巨大损失。

用户信息安全是互联网服务的根本，尤其涉及到用户财产安全的产品，不仅用户需要提高自身的安全意识，服务商尤其像优酷这样的大型互联网企业，亦要对用户负责，提供足够的安全保护措施，否则将对用户和自身造成无法挽回的伤害。