网站分类目录_分类目录提交_网址登陆_站长分类目录

微博回应疑似5.38亿条数据泄露:不涉及隐私,不影响

(观察者网 文/张珩)3月19日,原阿里集团安全研究实验室总监,现任默安科技CTO魏兴国发布的一条微博,把微博推上了风口浪尖。

魏兴国称,微博数据泄露了不少用户的手机号,当中涉及不少微博认证的明星、官员、企业家。

对此微博回应表示:“此次数据泄露应该追溯到2018年底,当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。”

微博还称:“微博一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有‘根据用户昵称查手机号’的服务。因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及其余隐私数据。”目前微博已经及时强化安全策略,并将不断强化。

在魏兴国发布的微博评论区中,有网友曾经表示,有超过5.38亿条微博用户信息在暗网出售,其中1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。

目前,魏兴国已经将上述微博删除,并表示数据泄露应该是被人通过接口薅了一些数据。

微博数据泄露

3月19日,微博用户@安全_云舒发布微博表示:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”

随后他还称:“这条被限了,但是隐瞒改变不了真相。事实上就是很多人的手机号码泄露了,根据微博账号就能查到手机号,我相信包括明星、企业家、公务员等人在内,也包括我的手机号,也包括来总的,也包括各位的。”(观察者网注:来总代指微博用户“来去之间”,现实中是微博CEO王高飞)。

魏兴国微博

观察者网查询发现,微博用户@安全_云舒实为默安科技CTO,原阿里集团安全研究实验室总监魏兴国,“云舒”是其在阿里巴巴的花名。

随后微博认证用户,微博安全总监@罗诗尧也在评论中表示,这是此前数据出现了“撞库”或“漏水”现象,“多谢关心,每隔段时间就有人在网上卖(数据),每次都会引起一波舆情。”

罗诗尧微博

值得注意的是,罗诗尧所说的撞库在国内数据安全领域曾经多次发生,12306、京东都曾经是撞库的受害者。2015年,网易邮箱出现了多达5亿用户数据泄露事件,彼时网易声称,这是因为网易遭到黑客撞库所导致。

所谓撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

据了解,通过这样的手法,几乎可以对付任何网站登录系统,就相当于给自己配了一把“万能钥匙”。

而罗诗尧所说的漏水则是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、权限分层管控、数据加密存储等关键事项。

本文系观察者网独家稿件,未经授权,不得转载。

版权说明:本站内容来源于网络和用户投稿,如有侵权请联系站长删除!