微博被曝超5億用戶數據在暗網被出售官方回應稱:舊聞,都散了吧
不知道玩微博的童鞋有沒有遇到過這樣的事情:你的微博賬號總是會出現很多新的關注列表,而這些並不是你操作的,是不是覺得很恐懼?一位搞安全的童鞋曾經告訴編輯,這很可能是因為有人知道我的身份信息,嚇得我趕緊去改了密碼。
最近幾天,微博被爆超5 億用戶信息在暗網上被出售的消息也是鬧的沸沸揚揚,究竟怎麼回事呢?
微博被爆用戶數據在暗網上被出售,回應稱是舊聞?
事情還要從幾個安全大佬的微博說起。
據南方日報報導,近日,多個安全監測平台監控到,有暗網用戶於3月4日發布了一則名為“5.38億微博用戶綁定手機號數據,其中1.72億有賬號基本信息”的交易信息,售價1388美元。其中綁定手機數據包括用戶ID和手機號,賬號基本信息包括暱稱、頭像、粉絲數、所在地等。
【圖片來源:南方都市報 所有者:南方都市報】
該用戶在商品描述中稱,上述信息“均為2019 年中左右抓取”,並給出400 條綁定手機號的測試數據,以及1500 條賬號基本信息的測試數據。
18 日晚,默安科技創始人兼CTO 魏興國(安全-雲舒)發博提及此事。
很快,微博CEO 王高飛(來去之間)回復稱“是2014 年以前網易那次撞庫的”。
3 月19 日上午,默安科技CTO 魏興國(安全-雲舒)發布了一條微博(目前已刪除)稱,通過技術查詢發現不少人手機號已經洩露。網友也不斷留言稱自己疑似遭遇了數據洩露,且洩露信息多為手機號。
“我的微博是2019 年7 月份註冊的,也可以查到綁定的手機號。應該確實是被脫庫而非接口枚舉,因為絕大多數綁定號碼都可以查到,洩露的數據量很龐大有幾億條。”
甚至有人發出了疑似微博個人數據的打包售賣截圖,標價為1799 元。
很快,微博針對微博數據洩露一事回應承認屬實,目前已及時強化安全策略,並表示這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。
微博還稱,“此次數據洩露應該追溯到2018年底,當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。其一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有’根據用戶暱稱查手機號’的服務。因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。此次非法調用微博接口匹配出的信息即為微博賬號暱稱,不涉及其餘隱私數據。 ”(這條微博也已經刪除)
隨後,微博安全總監羅詩堯也回應表示:“洩漏的手機號是19 年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的。”
同時,羅詩堯還表示:“19 年被刷的部分數據,內部突發現異常後馬上堵住了口子。我們第一時間報了警,取證後把相關信息遞到了警方,同時一直也在追查網上售賣信息的黑灰產。用戶的隱私至關重要,尤其還是涉及到手機號。”
儘管,微博已經就此事給出了回應,但網友們認為微博洩露用戶數據這件事可能是長期事實,並非舊聞,微博也不能僅在官方微博上如此“不咸不淡”的給出回應,應該就此事給出合理的解決辦法。
值得注意的是,提出問題的魏興國刪除了多條相關微博(或被限流已不可見),出來與網友battle 的微博安全總監羅詩堯刪除了相關留言。
數據洩露其實長期存在
當然,搞安全的童鞋也沒閒著,他們親身去試驗了。
“微博的數據洩露,很大概率可能是黑灰產的攻擊者利用接口的業務功能考慮不周全或有缺陷的情況,在本地通過腳本或自動化工具去大量生成。”
據Phala 可信網絡稱,他們購買了隱私數據其中一個根據地:電報(Telegram,一款匿名聊天軟件),通過電報按圖索驥、購買服務,摸清了灰產的整個服務架構。
他們首先在Telegram 找到社工群,即“社工庫”,然後與電報機器人聊天獲取數據信息的方式途徑,最後輸入手機/貼吧ID /微博ID / QQ / LOL 互相查詢對應綁定信息就可以查到你想查的信息,只要有錢。
【圖片來源:Phala可信網絡 所有者:Phala可信網絡】
重要的是,這個軟件出售的不僅僅是微博相關數據,還支持QQ 查手機/手機查QQ ,微博uid 查手機/手機反查微博,貼吧賬號查手機/手機查貼吧賬號。
此外,還可以提供密碼、快遞、開房、戶籍、地址、身份證、郵箱、賬戶、個人徵信報告等全方位的數據隱私查詢服務。
根據教程,社工庫以積分機制的形式販賣服務。用戶可以通過BTC或者以太坊為服務充值以獲取積分,然後使用積分可以查詢各種服務。充值積分越多,獲得單個積分也就越便宜,例如0.01個比特幣能夠獲得499積分,0.03比特幣能夠獲得2303積分,0.05個比特幣能夠獲得5756積分。
10 積分可以做一次普通查詢,約等於10 元一次;50 積分( 50 元)可以查一個貼吧/ QQ 微博套餐服務;個人徵信報告則賣到了1200 元。
所以,其實在暗網上,數據買賣很正常,我們的個人信息很可能隨時在被買賣。誠然,出現數據洩露是必然事件且一直在發生。但防範此類事件發生,首先是各平台不可推卸的責任。
數據洩露危機如何解?
其實,大數據時代,數據洩露也不是什麼新鮮事,難的是我們如何盡可能減少這種情況的發生,那麼,各大平台應該怎麼做呢?
啟明星數據安全專家曾給出三條建議:對於平台而言,首先要完善數據安全防護手段,敏感數據是什麼、存放在什麼位置、流轉經過哪些節點、數據洩露後如何溯源追責,企業都應該採取相應的數據安全產品和技術手段來解決這些問題。
其次,要建立可落地的行業性數據安全規範和企業數據安全管理制度;
最後,要提高安全意識,增加對內部數據洩露風險的防護。