5億微博隱私數據被爆遭洩漏始末,國際暗網正在火爆交易
“微博個人信息已可在暗網買賣。我都買到我自己的信息了。” 3月19日晚間,一位區塊鏈領域資深人士向鈦媒體App表示:“在Telegram上,已有大量被洩露個人信息可以用btc和eth交易,目前暗網已經瘋了,大家都在瘋狂查詢,這事已在國際暗網上產生巨大影響。”
這還要源於3月19日上午默安科技CTO魏興國發布的一條微博(目前已刪除)。魏興國稱,通過技術查詢發現不少人手機號已經洩露。
很快,微博針對微博數據洩露一事回應承認屬實,目前已及時強化安全策略,並表示這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。但是微博還稱,“此次數據洩露應該追溯到2018年底,當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。其一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有“根據用戶暱稱查手機號”的服務。因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。此次非法調用微博接口匹配出的信息即為微博賬號暱稱,不涉及其餘隱私數據。”
但是根據上述用戶向鈦媒體提供的信息顯示,其個人綁定微博的信息包括姓名、郵箱、地址、手機號、微博賬號、密碼等8項信息均已經能在暗網買到。某暗網以“贊助形式”收取費用。不過,每個人被洩漏的數據類型和數量也有所不同。另外有用戶向鈦媒體App透露,其在暗網上買到的“自己”的微博綁定信息,還包括老密碼、身份證號、車牌號、貼吧綁定的賬號、綁定的qq號等。
該人士隨後補充道,用戶還可以花錢把自己的信息屏蔽,不讓別人查詢。“我朋友的信息我也全都查到了,密碼都有,還有幾個他經常上網的地址,信息洩漏真的太恐怖了。”
在魏興國那條被刪除的微博評論中,亦曾有網友表示,發現5.38億條微博用戶信息在暗網出售,其中,1.72億條有賬戶基本信息,售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發布的微博數、粉絲數、關注數、性別、地理位置等。
微博數據突遭洩露
3月19日上午,微博名為“安全_雲舒”的用戶轉發微博時稱:“很多人的手機號碼洩露了,根據微博賬號就能查到手機號……已經有人通過微博洩露查到我的手機號碼,來加我微信了。”
該微博信息顯示,此人為默安科技創始人兼CTO,原阿里集團安全研究實驗室總監。默安科技方面證實稱,“安全_雲舒”確為默安科技CTO魏興國,“雲舒”是其在阿里巴巴的花名。
隨後,魏興國在微博下的留言中進一步表示,他通過技術查詢,發現不少人的手機號已被洩露,當中涉及不少微博認證的明星、官員、企業家。“來總(鈦媒體注:來總為微博CEO王高飛,微博名為“來去之間”)的手機號也被洩露了,我昨晚查過。”也有網友不斷留言稱自己疑似遭遇了數據洩露,且洩露信息多為手機號,甚至有人發出了疑似微博個人數據的打包售賣截圖,標價為1799元。
原因或為數據撞庫或漏水
值得注意的是,認證為微博安全總監的網友@羅詩堯也在評論中回復稱,這應該是此前出現了數據“撞庫”或“漏水”現象,“多謝關心,每隔段時間就有人在網上賣(數據),每次都會引起一波輿情,本不想回應,這條微博今後還會用得上。”
其中,撞庫是黑客通過收集互聯網已洩露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址,這就可以理解為撞庫攻擊。
漏水則是指企業某些非核心業務團隊規模小,沒有按照統一規範流程搭建業務,因此出現風險,比如沒有做好關鍵數據隔離、沒有做好權限分層管控、沒有做好數據加密存儲等。
目前,魏興國已經將前述微博刪除,並表示數據洩露應該是被人通過接口薅了一些數據。值得注意的是,2016年時,微博即與脈脈就抓取用戶數據等曾對簿公堂,當時,脈脈也被微博控告稱通過用戶手機通訊錄來非法獲取通訊錄和新浪微博用戶的對應關係。