微博回應“數據洩露”事件:非微博端洩露不涉及身份證、密碼
微博名為“安全_雲舒”的用戶轉發微博時稱:“很多人的手機號碼洩露了,根據微博賬號就能查到手機號……已經有人通過微博洩露查到我的手機號碼,來加我微信了。”在其微博下,有不少網友留言表示自己也疑似遭遇了數據洩露。
更有用戶表示,發現5.38億條微博用戶信息在暗網出售,其中,1.72億條有賬戶基本信息,售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發布的微博數、粉絲數、關注數、性別、地理位置等。
經查證,在“安全_雲舒”的用戶主頁上,目前已經找不到上圖微博內容,只留有昨晚其轉發的一條微博表示:“btw,我只是說數據洩露,沒說是脫褲哈。看來2019年是通過接口被人薅走了一些數據”。
對此,微博安全總監羅詩堯回應稱:“洩漏的手機號是19年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的。”
羅詩堯表示:“19年被刷的部分數據,內部突發現異常後馬上堵住了口子。我們第一時間報了警,取證後把相關信息遞到了警方,同時一直也在追查網上售賣信息的黑灰產。用戶的隱私至關重要,尤其還是涉及到手機號。”
“安全_雲舒”用戶的微博認證為“默安科技創始人兼CTO,原阿里集團安全研究實驗室總監”。天眼查顯示,默安科技成立於2016年4月,CEO聶万泉為原阿里雲平台安全總監,COO汪利輝為前阿里巴巴安全應急響應中心負責人。該公司於去年12月11日,完成了由琥珀資本領投的近2億元B輪融資。
針對“數據洩露”事件,微博方面向搜狐科技回應稱,微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務,但微博不提供用戶性別和身份證號等信息,也沒有“根據用戶暱稱查手機號”的服務。
微博表示,2018年底,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。此次非法調用微博接口匹配出的信息為微博賬號暱稱,不涉及身份證、密碼,對微博服務沒有影響。“發現異常後,我們及時加強了安全策略,今後還將不斷強化。”