不知道玩微博的童鞋有没有遇到过这样的事情:你的微博账号总是会出现很多新的关注列表,而这些并不是你操作的,是不是觉得很恐惧?
一位搞安全的童鞋曾经告诉雷锋网编辑,这很可能是因为有人知道我的身份信息,吓得我赶紧去改了密码。
最近几天,微博被爆超 5 亿用户信息在暗网上被出售的消息也是闹的沸沸扬扬,究竟怎么回事呢?
事情还要从几个安全大佬的微博说起。
据南方日报报道,近日,多个安全监测平台监控到,有暗网用户于 3 月 4 日发布了一则名为“5.38 亿微博用户绑定手机号数据,其中 1.72 亿有账号基本信息”的交易信息,售价 1388 美元。其中绑定手机数据包括用户 ID 和手机号,账号基本信息包括昵称、头像、粉丝数、所在地等。
【 图片来源:南方都市报 所有者:南方都市报 】
该用户在商品描述中称,上述信息“均为 2019 年中左右抓取”,并给出 400 条绑定手机号的测试数据,以及1500 条账号基本信息的测试数据。
18 日晚,默安科技创始人兼 CTO 魏兴国(安全-云舒)发博提及此事。
很快,微博 CEO 王高飞(来去之间)回复称“是 2014 年以前网易那次撞库的”。
3 月 19 日上午,默安科技 CTO 魏兴国(安全-云舒)发布了一条微博(目前已删除)称,通过技术查询发现不少人手机号已经泄露。网友也不断留言称自己疑似遭遇了数据泄露,且泄露信息多为手机号。
“我的微博是 2019 年 7 月份注册的,也可以查到绑定的手机号。应该确实是被脱库而非接口枚举,因为绝大多数绑定号码都可以查到,泄露的数据量很庞大有几亿条。”
甚至有人发出了疑似微博个人数据的打包售卖截图,标价为 1799 元。
很快,微博针对微博数据泄露一事回应承认属实,目前已及时强化安全策略,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。
微博还称,“此次数据泄露应该追溯到 2018 年底,当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。其一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有‘根据用户昵称查手机号’的服务。因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及其余隐私数据。”(这条微博 也已经删除)
随后,微博安全总监罗诗尧也回应表示:“泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”
同时,罗诗尧还表示:“19 年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”
尽管,微博已经就此事给出了回应,但网友们认为微博泄露用户数据这件事可能是长期事实,并非旧闻,微博也不能仅在官方微博上如此“不咸不淡”的给出回应,应该就此事给出合理的解决办法。
值得注意的是,提出问题的魏兴国删除了多条相关微博(或被限流已不可见),出来与网友 battle 的微博安全总监罗诗尧删除了相关留言。
当然,搞安全的童鞋也没闲着,他们亲身去试验了。
“微博的数据泄露,很大概率可能是黑灰产的攻击者利用接口的业务功能考虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成。”
据 Phala 可信网络称,他们购买了隐私数据其中一个根据地:电报(Telegram,一款匿名聊天软件),通过电报按图索骥、购买服务,摸清了灰产的整个服务架构。
他们首先在 Telegram 找到社工群,即“社工库”,然后与电报机器人聊天获取数据信息的方式途径,最后输入手机/贴吧 ID /微博 ID / QQ / LOL 互相查询对应绑定信息就可以查到你想查的信息,只要有钱。
【 图片来源:Phala可信网络 所有者:Phala可信网络 】
重要的是,这个软件出售的不仅仅是微博相关数据,还支持 QQ 查手机/手机查 QQ ,微博 uid 查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号。
此外,还可以提供密码、快递、开房、户籍、地址、身份证 、邮箱、账户、个人征信报告等全方位的数据隐私查询服务。
根据教程,社工库以积分机制的形式贩卖服务。用户可以通过 BTC 或者以太坊为服务充值以获取积分,然后使用积分可以查询各种服务。充值积分越多,获得单个积分也就越便宜,例如 0.01 个比特币能够获得 499 积分,0.03 比特币能够获得 2303 积分,0.05 个比特币能够获得 5756 积分。
10 积分可以做一次普通查询,约等于 10 元一次;50 积分( 50 元)可以查一个贴吧/ QQ 微博套餐服务;个人征信报告则卖到了 1200 元。
所以,其实在暗网上,数据买卖很正常,我们的个人信息很可能随时在被买卖。诚然,出现数据泄露是必然事件且一直在发生。但防范此类事件发生,首先是各平台不可推卸的责任。
其实,大数据时代,数据泄露也不是什么新鲜事,难的是我们如何尽可能减少这种情况的发生,那么,各大平台应该怎么做呢?
启明星数据安全专家曾给出三条建议:对于平台而言,首先要完善数据安全防护手段,敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
其次,要建立可落地的行业性数据安全规范和企业数据安全管理制度;
最后,要提高安全意识,增加对内部数据泄露风险的防护。
而对于普通用户,雷锋网建议大家:
在不同平台设置不同密码,并在某个固定时间去修改所有密码。
重要信息分类使用。当获取服务时,手机要绑定个人信息,要注意被绑定的信息。
雷锋网雷锋网雷锋网
参考来源:https://mp.weixin.qq.com/s/3pvdWMuDmMrQJT1AEFcPWA