写点什么

5.38 亿微博用户信息泄露,暗网只售不到 1 万元

  • 2020-03-20
  • 本文字数:2903 字

    阅读完需:约 10 分钟

5.38亿微博用户信息泄露,暗网只售不到1万元


近日,有用户发现 5.38 亿条微博用户信息在暗网出售,其中 1.72 亿有账号基本信息。全部数据售价 0.177 比特币,折合成人民币约为 7350 元。据悉,涉及到的账号信息包括用户 ID、微博数、粉丝数、关注数、性别、地理位置等。



3 月 19 日,安全专家云舒在微博上称:“很多人的手机号码泄露了,根据微博账号就能查到手机号… 已经有人通过微博泄露查到我的手机号码,来加我微信了。”



在其微博留言中,多名微博网友确认手机号泄露。有一名网友留言,“刚刚查了下我的,确实泄露了,电话号码、身份证、物理地址都正确。”



除了网友手机号,“包括明星、企业家、公务员等人在内”的手机号都被泄露。


据悉,“安全 _ 云舒”微博的个人主页显示,他是默安科技创始人兼 CTO,原阿里集团安全研究实验室总监。根据 36 氪的求证,这名网友为默安科技 CTO 魏兴国。


截至笔者撰文时,“安全 _ 云舒”发布的 2 条相关微博已经删除。

微博回应

针对本次数据泄露事件,微博认证“微博安全总监”的网友罗诗尧在微博中回复称:多谢关心,每隔段时间就有人在网上卖(数据),每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。


至于本次数据泄露的原因,安全 _ 云舒称,这次数据泄露或是由于微博在 2019 年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。


而罗诗尧回应,“泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”



他还表示,“19 年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”


微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务,但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。2018 年底,有用户利用微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。“发现异常后,我们及时加强了安全策略,今后还将不断强化。”


对于本次数据泄露事件,一名业内安全专家向笔者表示,“对于微博的数据泄露,第一不能轻视,第二也不用太夸大,因为这是我们每年许多数据泄露事件中的一起。现在,随着所有互联网公司都在做数字化转型,其实每一个企业都掌握了大量客户信息。这些信息如果保护不到位的话,都会出现数据泄露。”


“无论是物理世界,还是数字世界,它都不是 100% 的安全,一定会有各种各样的风险。数据泄露,其实是数字化世界中非常普遍、需要重视的安全风险之一。”

原因分析

在今天的互联网上,数据泄露层出不穷。在 《2019 年数据泄露全年盘点》 中,笔者从公开渠道统计出数据泄露事件一共有 43 件,涉及各行各业。


左耳朵耗子在 极客时间 的《从 Equifax 信息泄露看数据安全》中指出了数据泄露发生的原因:


  1. 利用程序框架或库的已知漏洞。比如,美国征信机构 Equifax 发生的 1.45 亿用户数据泄露,就是利用 Apache Struts 的已知漏洞;

  2. 暴力破解密码。攻击者利用密码字典库或是已经泄露的密码来“撞库”;

  3. 代码注入。通过程序员代码的安全性问题,如 SQL 注入、XSS 攻击、CSRF 攻击等取得用户的权限 ;

  4. 利用程序日志不小心泄露的信息 ;

  5. 社会工程学


此外,他还阐述了因数据管理问题而发生的数据泄露,比如只有一层安全、弱密码、向公网暴露了内部系统、安全日志被暴露、保存了不必要保存的数据和密码没有被合理地散列等。


具体到本次微博的数据泄露,这名资深安全人士指出,根据目前披露的一些信息,在很多社交平台,它都有根据用户通讯录去查找好友的功能。以微博为例,用户注册登录后,它会询问你是否要匹配通讯录中的好友。“除了微博,拼多多、京东、抖音都有类似的功能”。


这名资深安全人士说,“微博的数据泄露,很大概率可能是黑灰产的攻击者利用接口的业务功能考虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成。”


黑产或灰产会利用手中工具在本地生成大量连续的手机号,利用微博的接口,去匹配微博上面的账号。通过这种方式,它可以生成你的微博和手机信息的绑定,利用这种绑定去准确定位你的微博。“有了手机号后,可以去匹配一些其他的信息,找到你的 QQ 号、身份证号码等。匹配到一些信息后,它还可能拿到你的账户密码,然后撞库找到其他信息。”他说。


简言之,利用微博,定位到个人、手机号、微博 ID 和 QQ 号。拿到手机号和 QQ 后,再去获取身份证信息、密码信息等。

2 个小建议,让你的数据更安全

对网友而言,我们虽然是个人信息数据的拥有者,但不是数据的控制者。“当我们把信息委托给某一个平台,那我们其实将主动权交给了对方。”


作为一个普通人,我们可以采取一些举措去有效地保护个人数据:


  1. 在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦点,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;

  2. 重要信息分类使用。当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。

专家支 3 招,企业防泄露

无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。


对企业或组织机构而言,它们对数据泄露应采取积极主动的态度,避免数据泄露事件发生。


有安全专家给出了 3 条建议:


1、完善数据安全防护手段


当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。


敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。


2、建立可落地的行业性数据安全规范和企业数据安全管理制度


最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求 2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。


虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。


这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”


3、提高安全意识,增加对内部数据泄露风险的防护


目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。


调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。


因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。


2020-03-20 15:0513339
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 375.1 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

深度 | 新兴软件研发范式崛起,云计算全面走向 Serverless 化

Serverless Devs

阿里云 Serverless

即时通讯技术文集(第7期):长连接网关、P2P等 [共10篇]

JackJiang

网络编程 IM 即时通讯IM

单体分层应用架构剖析

京东科技开发者

架构 模块 应用架构 服务层 业务层

DHorse系列文章之操作手册

tiandizhiguai

微服务 云原生 k8s管理 微服务治理 Serverless Kubernetes

ITSM | 对话——从业务场景、中国市场策略角度解读Atlassian ITSM解决方案

龙智—DevSecOps解决方案

ITSM ITIL

观察者模式在spring中的应用

京东科技开发者

Java spring 编程 观察者模式

A/B测试有哪些常见应用场景?——火山引擎DataTester科普

字节跳动数据平台

大数据 AB testing实战

“鸿蒙开发套件”焕新升级 端到端赋能助力开发运维事半功倍

最新动态

金九银十已过,总结了阿里面试官常问九大项面试题!

钟奕礼

Java java面试 java编程 程序员‘

从零开始学习Java系列之Java运行机制与跨平台特性

千锋IT教育

车间工厂看板还搞不定,数据可视化包教包会

葡萄城技术团队

数据可视化 看板 智能工厂

《鸿蒙生态应用开发白皮书》正式发布,携手更多开发者迈入鸿蒙世界

最新动态

端云一体开发,助力鸿蒙应用开发效率全面提升

最新动态

华为开发者联盟学堂上线超1800门课程,为开发者提供一站式赋能

最新动态

PGL图学习之项目实践(UniMP算法实现论文节点分类、新冠疫苗项目实战,助力疫情)[系列九]

汀丶人工智能

图神经网络 图学习 11月月更 论文节点分类任务 新冠疫苗任务

一次MTU问题导致的RDS访问故障

京东科技开发者

数据库 Linux MTU RDS vpn

四项发明专利布局国际市场 申威睿思层级化数据库操作加速系统和方法获肯定

科技热闻

Spring6正式发布!重磅更新,是否可以拯救Java

宋小生

JVM 核心知识体系

钟奕礼

Java java面试 java编程 程序员‘

【实用工具】解决PCB设计难题,痛击风险漏洞!

华秋PCB

工具 PCB PCB设计

技术指南 | 如何集成Perforce版本控制系统Helix Core (P4V) 与敏捷规划工具Hansoft

龙智—DevSecOps解决方案

敏捷 版本管理

代码质量与安全 | 使用Incredibuild加速Klocwork静态代码分析

龙智—DevSecOps解决方案

代码静态分析 SAST工具 SAST 编译器 加速器 编程语言

《鸿蒙生态应用开发白皮书》正式发布,携手更多开发者迈入鸿蒙世界

最新动态

咱也不知道这份牛P哄哄的【Nginx实战】资料是不是你们想要的

钟奕礼

Java 程序员 java面试 java编程

2022中国区Cyber Monday限时优惠来袭,Linux基金会开源软件学园带来优惠

kk-OSC

k8s Linux基金会 CKA CKS

软件测试自动化“领导者”SmartBear举办首场中国线上研讨会:洞悉全球自动化测试走向,探讨降本增效之策

龙智—DevSecOps解决方案

自动化测试 API测试 UI测试 软件测试自动化

这可能是最全的SpringBoot3新版本变化了!

艾小仙

Java spring could spring-boot

高效!启科量子线路模拟器 QuSprout 与 Amazon HPC 集成,赋能量子计算

亚马逊云科技 (Amazon Web Services)

量子计算 Hero 专栏

东莞理工学院-网安学院举办第二届“火焰杯”软件测试高校就业选拔赛颁奖典礼

测试人

软件测试 自动化测试 测试发开 测试比赛

高管对上新老板的 Twitter

HoneyMoose

集群部署看过来,低代码@AWS智能集群的架构与搭建方案

葡萄城技术团队

负载均衡 部署 集群 亚马逊

5.38亿微博用户信息泄露,暗网只售不到1万元_安全_万佳_InfoQ精选文章