QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

5.38 亿微博用户信息泄露,暗网只售不到 1 万元

  • 2020-03-20
  • 本文字数:2903 字

    阅读完需:约 10 分钟

5.38亿微博用户信息泄露,暗网只售不到1万元


近日,有用户发现 5.38 亿条微博用户信息在暗网出售,其中 1.72 亿有账号基本信息。全部数据售价 0.177 比特币,折合成人民币约为 7350 元。据悉,涉及到的账号信息包括用户 ID、微博数、粉丝数、关注数、性别、地理位置等。



3 月 19 日,安全专家云舒在微博上称:“很多人的手机号码泄露了,根据微博账号就能查到手机号… 已经有人通过微博泄露查到我的手机号码,来加我微信了。”



在其微博留言中,多名微博网友确认手机号泄露。有一名网友留言,“刚刚查了下我的,确实泄露了,电话号码、身份证、物理地址都正确。”



除了网友手机号,“包括明星、企业家、公务员等人在内”的手机号都被泄露。


据悉,“安全 _ 云舒”微博的个人主页显示,他是默安科技创始人兼 CTO,原阿里集团安全研究实验室总监。根据 36 氪的求证,这名网友为默安科技 CTO 魏兴国。


截至笔者撰文时,“安全 _ 云舒”发布的 2 条相关微博已经删除。

微博回应

针对本次数据泄露事件,微博认证“微博安全总监”的网友罗诗尧在微博中回复称:多谢关心,每隔段时间就有人在网上卖(数据),每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。


至于本次数据泄露的原因,安全 _ 云舒称,这次数据泄露或是由于微博在 2019 年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。


而罗诗尧回应,“泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”



他还表示,“19 年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”


微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务,但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。2018 年底,有用户利用微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。“发现异常后,我们及时加强了安全策略,今后还将不断强化。”


对于本次数据泄露事件,一名业内安全专家向笔者表示,“对于微博的数据泄露,第一不能轻视,第二也不用太夸大,因为这是我们每年许多数据泄露事件中的一起。现在,随着所有互联网公司都在做数字化转型,其实每一个企业都掌握了大量客户信息。这些信息如果保护不到位的话,都会出现数据泄露。”


“无论是物理世界,还是数字世界,它都不是 100% 的安全,一定会有各种各样的风险。数据泄露,其实是数字化世界中非常普遍、需要重视的安全风险之一。”

原因分析

在今天的互联网上,数据泄露层出不穷。在 《2019 年数据泄露全年盘点》 中,笔者从公开渠道统计出数据泄露事件一共有 43 件,涉及各行各业。


左耳朵耗子在 极客时间 的《从 Equifax 信息泄露看数据安全》中指出了数据泄露发生的原因:


  1. 利用程序框架或库的已知漏洞。比如,美国征信机构 Equifax 发生的 1.45 亿用户数据泄露,就是利用 Apache Struts 的已知漏洞;

  2. 暴力破解密码。攻击者利用密码字典库或是已经泄露的密码来“撞库”;

  3. 代码注入。通过程序员代码的安全性问题,如 SQL 注入、XSS 攻击、CSRF 攻击等取得用户的权限 ;

  4. 利用程序日志不小心泄露的信息 ;

  5. 社会工程学


此外,他还阐述了因数据管理问题而发生的数据泄露,比如只有一层安全、弱密码、向公网暴露了内部系统、安全日志被暴露、保存了不必要保存的数据和密码没有被合理地散列等。


具体到本次微博的数据泄露,这名资深安全人士指出,根据目前披露的一些信息,在很多社交平台,它都有根据用户通讯录去查找好友的功能。以微博为例,用户注册登录后,它会询问你是否要匹配通讯录中的好友。“除了微博,拼多多、京东、抖音都有类似的功能”。


这名资深安全人士说,“微博的数据泄露,很大概率可能是黑灰产的攻击者利用接口的业务功能考虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成。”


黑产或灰产会利用手中工具在本地生成大量连续的手机号,利用微博的接口,去匹配微博上面的账号。通过这种方式,它可以生成你的微博和手机信息的绑定,利用这种绑定去准确定位你的微博。“有了手机号后,可以去匹配一些其他的信息,找到你的 QQ 号、身份证号码等。匹配到一些信息后,它还可能拿到你的账户密码,然后撞库找到其他信息。”他说。


简言之,利用微博,定位到个人、手机号、微博 ID 和 QQ 号。拿到手机号和 QQ 后,再去获取身份证信息、密码信息等。

2 个小建议,让你的数据更安全

对网友而言,我们虽然是个人信息数据的拥有者,但不是数据的控制者。“当我们把信息委托给某一个平台,那我们其实将主动权交给了对方。”


作为一个普通人,我们可以采取一些举措去有效地保护个人数据:


  1. 在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦点,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;

  2. 重要信息分类使用。当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。

专家支 3 招,企业防泄露

无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。


对企业或组织机构而言,它们对数据泄露应采取积极主动的态度,避免数据泄露事件发生。


有安全专家给出了 3 条建议:


1、完善数据安全防护手段


当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。


敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。


2、建立可落地的行业性数据安全规范和企业数据安全管理制度


最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求 2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。


虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。


这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”


3、提高安全意识,增加对内部数据泄露风险的防护


目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。


调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。


因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。


2020-03-20 15:0513117
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 366.9 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

Java核心基础——注解

老农小江

注解 java

阿里P8爆肝三月!最新出土SQL手册:收获不止SQL优化,抓住SQL的本质

Java 编程 程序员 IT 计算机

直接霸榜Github!阿里内网流传P8大牛的“满级”分布式架构笔记,

程序员小呆

Java 程序员 面试 架构师

亿级流量架构演进实战 | 从零构建亿级流量API网关 01

松然聊技术

亿级架构

怎么阅读 Linux 内核源码

程序员小呆

Java Linux 程序员 架构师

金九银十吃透这份Spring Boot实战文档,让你超过90%的Java面试者

Java 编程 架构 面试 springboot

国家第一梯队!开物入选特色专业型工业互联网平台

百度大脑

人工智能 百度 智能云

真香!在Github一夜爆火的面试题库,被各大厂要求直接下架

程序员小呆

Java 程序员 面试 架构师

微博评论高性能高可用计算架构

Imaginary

云栖大会|盛宴之下,共赴一场视频云的进化论

阿里云CloudImagine

阿里云 音视频 WebRTC 视频云 云栖大会

亿级流量架构演进实战 | 从零构建亿级流量API网关 02

松然聊技术

亿级架构

☕【Java技术指南】「编译器专题」深入分析探究“静态编译器”(JAVA\IDEA\ECJ编译器)是否可以实现代码优化?

码界西柚

Java 编译器 静态编译器 10月月更

一篇神文让你"一夜封神"Mycat中间件(最详细讲解)

程序员小呆

Java 程序员 架构师 mycat

优酷鸿蒙开发实践 | 鸿蒙卡片开发

阿里巴巴终端技术

ios android HarmonyOS 优酷 移动端

MySQL索引总结:14张图+代码+文字

Java MySQL 数据库 架构 后端

明道云APaaS在保险业中的应用场景例举

明道云

极光笔记丨iOS 15推送新特性

极光JIGUANG

ios 消息推送 移动端

百亿级系统架构首公开!阿里这份300多页的设计实录你还没有吗?

Java 程序员 架构 面试 后端

阿里技术官耗时半年总结出“满分”架构笔记,拿捏分布式到微服务

进击的王小二

Java 架构 分布式 微服务

数据上报那些事

神策技术社区

数据 神策数据

量化模拟线上流量实践

FunTester

性能测试 接口测试 测试框架 FunTester 线上流量

架构师一定要看!微服务设计的四个原则

Java 程序员 架构 面试 后端

容器化 | ClickHouse Operator 原理解析

RadonDB

数据库 Kubernetes Clickhouse

太香了!Github疯传的阿里分布式设计实录让面试进阶齐飞!

Java 程序员 架构 面试 后端

211本+985硕+计算机专业投面百度,坐等一周迎来三面,已拿offer

Java 学习 程序员 架构 大厂面试

性能加速最高可达28倍!这个NLP工具包不容错过

百度开发者中心

预训练模型 NLP 大模型

索信达助力国有大行提升监管报送质量

索信达控股

大数据 数据治理 金融监管 金融行业 银行业

接连三次霸榜GitHub,这个国产GitHub项目是真的强...

百度开发者中心

最佳实践 方法论 百度飞桨 开源技术

一篇神文让你深入理解计算机系统——学习笔记

程序员小呆

Java 程序员 架构师 计算机

内卷把同事逼成了“扫地僧”,把 Github 上所有面试题都整理了一遍~ 足足 24W 字!

编程 程序员 IT 计算机 java

#1024我在现场# 征集线索引爆大奖!

InfoQ写作社区官方

1024我在现场 热门活动

5.38亿微博用户信息泄露,暗网只售不到1万元_安全_万佳_InfoQ精选文章