“AI 技术+人才”如何成为企业增长新引擎?戳此了解>>> 了解详情
写点什么

5.38 亿微博用户信息泄露,暗网只售不到 1 万元

  • 2020-03-20
  • 本文字数:2903 字

    阅读完需:约 10 分钟

5.38亿微博用户信息泄露,暗网只售不到1万元


近日,有用户发现 5.38 亿条微博用户信息在暗网出售,其中 1.72 亿有账号基本信息。全部数据售价 0.177 比特币,折合成人民币约为 7350 元。据悉,涉及到的账号信息包括用户 ID、微博数、粉丝数、关注数、性别、地理位置等。



3 月 19 日,安全专家云舒在微博上称:“很多人的手机号码泄露了,根据微博账号就能查到手机号… 已经有人通过微博泄露查到我的手机号码,来加我微信了。”



在其微博留言中,多名微博网友确认手机号泄露。有一名网友留言,“刚刚查了下我的,确实泄露了,电话号码、身份证、物理地址都正确。”



除了网友手机号,“包括明星、企业家、公务员等人在内”的手机号都被泄露。


据悉,“安全 _ 云舒”微博的个人主页显示,他是默安科技创始人兼 CTO,原阿里集团安全研究实验室总监。根据 36 氪的求证,这名网友为默安科技 CTO 魏兴国。


截至笔者撰文时,“安全 _ 云舒”发布的 2 条相关微博已经删除。

微博回应

针对本次数据泄露事件,微博认证“微博安全总监”的网友罗诗尧在微博中回复称:多谢关心,每隔段时间就有人在网上卖(数据),每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。


至于本次数据泄露的原因,安全 _ 云舒称,这次数据泄露或是由于微博在 2019 年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。


而罗诗尧回应,“泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”



他还表示,“19 年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”


微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务,但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。2018 年底,有用户利用微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。“发现异常后,我们及时加强了安全策略,今后还将不断强化。”


对于本次数据泄露事件,一名业内安全专家向笔者表示,“对于微博的数据泄露,第一不能轻视,第二也不用太夸大,因为这是我们每年许多数据泄露事件中的一起。现在,随着所有互联网公司都在做数字化转型,其实每一个企业都掌握了大量客户信息。这些信息如果保护不到位的话,都会出现数据泄露。”


“无论是物理世界,还是数字世界,它都不是 100% 的安全,一定会有各种各样的风险。数据泄露,其实是数字化世界中非常普遍、需要重视的安全风险之一。”

原因分析

在今天的互联网上,数据泄露层出不穷。在 《2019 年数据泄露全年盘点》 中,笔者从公开渠道统计出数据泄露事件一共有 43 件,涉及各行各业。


左耳朵耗子在 极客时间 的《从 Equifax 信息泄露看数据安全》中指出了数据泄露发生的原因:


  1. 利用程序框架或库的已知漏洞。比如,美国征信机构 Equifax 发生的 1.45 亿用户数据泄露,就是利用 Apache Struts 的已知漏洞;

  2. 暴力破解密码。攻击者利用密码字典库或是已经泄露的密码来“撞库”;

  3. 代码注入。通过程序员代码的安全性问题,如 SQL 注入、XSS 攻击、CSRF 攻击等取得用户的权限 ;

  4. 利用程序日志不小心泄露的信息 ;

  5. 社会工程学


此外,他还阐述了因数据管理问题而发生的数据泄露,比如只有一层安全、弱密码、向公网暴露了内部系统、安全日志被暴露、保存了不必要保存的数据和密码没有被合理地散列等。


具体到本次微博的数据泄露,这名资深安全人士指出,根据目前披露的一些信息,在很多社交平台,它都有根据用户通讯录去查找好友的功能。以微博为例,用户注册登录后,它会询问你是否要匹配通讯录中的好友。“除了微博,拼多多、京东、抖音都有类似的功能”。


这名资深安全人士说,“微博的数据泄露,很大概率可能是黑灰产的攻击者利用接口的业务功能考虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成。”


黑产或灰产会利用手中工具在本地生成大量连续的手机号,利用微博的接口,去匹配微博上面的账号。通过这种方式,它可以生成你的微博和手机信息的绑定,利用这种绑定去准确定位你的微博。“有了手机号后,可以去匹配一些其他的信息,找到你的 QQ 号、身份证号码等。匹配到一些信息后,它还可能拿到你的账户密码,然后撞库找到其他信息。”他说。


简言之,利用微博,定位到个人、手机号、微博 ID 和 QQ 号。拿到手机号和 QQ 后,再去获取身份证信息、密码信息等。

2 个小建议,让你的数据更安全

对网友而言,我们虽然是个人信息数据的拥有者,但不是数据的控制者。“当我们把信息委托给某一个平台,那我们其实将主动权交给了对方。”


作为一个普通人,我们可以采取一些举措去有效地保护个人数据:


  1. 在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦点,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;

  2. 重要信息分类使用。当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。

专家支 3 招,企业防泄露

无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。


对企业或组织机构而言,它们对数据泄露应采取积极主动的态度,避免数据泄露事件发生。


有安全专家给出了 3 条建议:


1、完善数据安全防护手段


当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。


敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。


2、建立可落地的行业性数据安全规范和企业数据安全管理制度


最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求 2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。


虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。


这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”


3、提高安全意识,增加对内部数据泄露风险的防护


目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。


调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。


因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。


2020-03-20 15:0512534
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.1 次阅读, 收获喜欢 1794 次。

关注

评论

发布
暂无评论
发现更多内容

云时代,最好用的MySQL客户端工具推荐

NineData

MySQL 数据库 GUI

k8s 学习实战(一)

BeyondLife

k8s安装 kubenetes

React源码分析(一)Fiber

flyzz177

React

从源码角度看React-Hydrate原理

flyzz177

React

从recat源码角度看setState流程

flyzz177

React

Kubernetes 跨集群流量调度实战 :访问控制

Flomesh

Service Mesh 服务网格 服务网格

小心被坑死!如果你还在用 Zookeeper 做注册中心

风铃架构日知录

Java zookeeper 程序人生 后端 注册中心

用javascript分类刷leetcode13.单调栈(图文视频讲解)

js2030code

JavaScript LeetCode

看透react源码之感受react的进化

flyzz177

React

详解UDS CAN诊断:SecurityAccess Service(SID:0X27)

不脱发的程序猿

汽车电子 CAN ISO 14229 诊断和通信管理功能单元 SecurityAccess Service

JavaScript刷LeetCode拿offer-栈相关题目

js2030code

JavaScript LeetCode

2022年人民满意手机银行服务白皮书

易观分析

金融 白皮书 手机银行 用户

4天带你上手HarmonyOS ArkUI开发——《HarmonyOS ArkUI入门训练营之健康生活实战》

HarmonyOS开发者

HarmonyOS

2022年中国证券类APP创新专题分析

易观分析

金融 证券 证券app

每个人都必须为2023年的十大基本技术趋势做好准备

超自动化

AI 超自动化

贴吧低代码高性能规则引擎设计

百度Geek说

低代码 规则引擎 平台化 企业号 1 月 PK 榜

2022年11月中国网约车领域月度观察

易观分析

网约车 行业 打车

ChatGPT 使用 API 进行 Postman 调用测试

HoneyMoose

一文教会你mock(Mockito和PowerMock双剑合璧)

京东科技开发者

测试 powermock Mock pom 企业号 1 月 PK 榜

国内首款支持gRPC+WebSocket调试的工具——Apipost

不想敲代码

JavaScript刷LeetCode拿offer-树的遍历

js2030code

JavaScript LeetCode

ChatGPT 最近火得不要不要的

HoneyMoose

深入react源码看setState究竟做了什么?

flyzz177

React

Reids的BigKey和HotKey

小小怪下士

Java redis 程序员

SPL 实现电力高频时序数据实时存储统计

石臻臻的杂货铺

SPL

一体化运维,降本增效!秒云助力海富通基金打造智能运维平台

MIAOYUN

运维 金融 智能运维 IT解决方案

Java高手速成 | 数据库实训:图书馆管理系统建模

TiAmo

数据库 管理系统 1月月更

React-Hooks源码深度解读

flyzz177

React

谈谈你在面试中遇到的一面、二面、三面有什么区别?

风铃架构日知录

Java java面试 程序员面试 面试‘’ 面试流程

群晖NAS设置Calibre个人电子图书馆

刘旭东

群晖 Calibre 个人图书

【架构设计】你的应用该如何分层呢?

JAVA旭阳

Java 架构

5.38亿微博用户信息泄露,暗网只售不到1万元_安全_万佳_InfoQ精选文章