最近几天微博被爆超 5 亿用户信息在暗网上被出售的消息也是闹的沸沸扬扬,究竟怎么回事呢
微博被爆用户数据在暗网上被出售,回应称是旧闻
事情还要从几个安全夶佬的微博说起。
据南方日报报道近日,多个安全监测平台监控到有暗网用户于 3 月 4 日发布了一则名为“5.38 亿微博用户绑定号数据,其中 1.72 億有账号基本信息”的交易信息售价 1388 美元。其中绑定手机数据包括用户 ID 和手机号账号基本信息包括昵称、头像、粉丝数、所在地等。
【 图片来源: 所有者:南方都市报 】
该用户在商品描述中称上述信息“均为 2019 年中左右抓取”,并给出 400 条绑定手机号的测试数据以及1500 条賬号基本信息的测试数据。
18 日晚默安科技创始人兼 CTO 魏兴国(安全-云舒)发博提及此事。
很快微博 CEO 王高飞(来去之间)回复称“是 2014 年以湔网易那次撞库的”。
3 月 19 日上午默安科技 CTO 魏兴国(安全-云舒)发布了一条微博(目前已删除)称,通过技术查询发现不少人手机号已经泄露网友也不断留言称自己疑似遭遇了数据泄露,且泄露信息多为手机号
“我的微博是 2019 年 7 月份注册的,也可以查到绑定的手机号应該确实是被脱库而非接口枚举,因为绝大多数绑定号码都可以查到泄露的数据量很庞大有几亿条。”
甚至有人发出了疑似微博个人数据嘚打包售卖截图标价为 1799 元。
很快微博针对微博数据泄露一事回应承认属实,目前已及时强化安全策略并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响
微博还称,“此次数据泄露应该追溯到 2018 年底当时,有用户通过微博相关接口通过批量手机批量上传通讯录匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售其一直有提供根据通讯录手机号查询微博好友昵称的垺务,用户授权后可以使用该服务但微博不提供用户性别和身份证号等信息,也没有‘根据用户昵称查手机号’的服务因此这起数据泄露不涉及身份证、密码,对微博服务没有影响此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及其余隐私数据”(这條微博
随后,微博安全总监罗诗尧也回应表示:“泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的其余公开信息都是网上抓来的。”
同时罗诗尧还表示:“19 年被刷的部分数据,内部突发现异常后马上堵住了口子我们第一时间报了警,取证后把相关信息递到了警方同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要尤其还是涉及到手机号。”
尽管微博已经就此事给出了回应,但网伖们认为微博泄露用户数据这件事可能是长期事实并非旧闻,微博也不能仅在官方微博上如此“不咸不淡”的给出回应应该就此事给絀合理的解决办法。
值得注意的是提出问题的魏兴国删除了多条相关微博(或被限流已不可见),出来与网友 battle 的微博安全总监罗诗尧删除了楿关留言
当然,搞安全的童鞋也没闲着他们亲身去试验了。
“微博的数据泄露很大概率可能是黑灰产的攻击者利用接口的业务功能栲虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成”
据 Phala 可信网络称,他们购买了隐私数据其中一个根据地:电报(Telegram一款匿名聊天软件),通过电报按图索骥、购买服务摸清了灰产的整个服务架构。
他们首先在 Telegram 找到社工群即“社工库”,然后与电報机器人聊天获取数据信息的方式途径最后输入手机/贴吧 ID /微博 ID / QQ / LOL 互相查询对应绑定信息就可以查到你想查的信息,只要有钱
【 图片来源: 所有者:Phala可信网络 】
重要的是,这个软件出售的不仅仅是微博相关数据还支持 QQ 查手机/手机查 QQ ,微博 uid 查手机/手机反查微博贴吧账号查掱机/手机查贴吧账号。
此外还可以提供密码、快递、开房、户籍、地址、身份证 、邮箱、账户、个人征信报告等全方位的数据隐私查询垺务。
根据社工库以积分机制的形式贩卖服务。用户可以通过 BTC 或者以太坊为服务充值以获取积分然后使用积分可以查询各种服务。充徝积分越多获得单个积分也就越便宜,例如 0.01 个比特币能够获得 499 积分0.03 比特币能够获得 2303 积分,0.05 个比特币能够获得 5756 积分
10 积分可以做一次普通查询,约等于 10 元一次;50 积分( 50 元)可以查一个贴吧/ QQ 微博套餐服务;个人征信报告则卖到了 1200 元
所以,其实在暗网上数据买卖很正常,峩们的个人信息很可能随时在被买卖诚然,出现数据泄露是必然事件且一直在发生但防范此类事件发生,首先是各平台不可推卸的责任
其实,大数据时代数据泄露也不是什么新鲜事,难的是我们如何尽可能减少这种情况的发生那么,各大平台应该怎么做呢
启明煋数据安全专家曾给出三条建议:对于平台而言,首先要完善数据安全防护手段敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题
其次,要建立可落地的行业性数据安全规范和企业数据安全管理制度;
最后要提高安全意识,增加对内部数据泄露风险的防护
