近日,有用户发现 5.38 亿条微博用户信息在暗网出售,其中 1.72 亿有账号基本信息。全部数据售价 0.177 比特币,折合成人民币约为 7350 元。据悉,涉及到的账号信息包括用户 ID、微博数、粉丝数、关注数、性别、地理位置等。
3 月 19 日,微博名为“安全 _ 云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号… 已经有人通过微博泄露查到我的手机号码,来加我微信了。”
在其微博留言中,多名微博网友确认手机号泄露。有一名网友留言,“刚刚查了下我的,确实泄露了,电话号码、身份证、物理地址都正确。”
除了网友手机号,“包括明星、企业家、公务员等人在内”的手机号都被泄露。
据悉,“安全 _ 云舒”微博的个人主页显示,他是默安科技创始人兼 CTO,原阿里集团安全研究实验室总监。根据 36 氪的求证,这名网友为默安科技 CTO 魏兴国。
截至笔者撰文时,“安全 _ 云舒”发布的 2 条相关微博已经删除。
微博回应
针对本次数据泄露事件,微博认证“微博安全总监”的网友罗诗尧在微博中回复称:多谢关心,每隔段时间就有人在网上卖(数据),每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。
至于本次数据泄露的原因,安全 _ 云舒称,这次数据泄露或是由于微博在 2019 年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。
而罗诗尧回应,“泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”
他还表示,“19 年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”
微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务,但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。2018 年底,有用户利用微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。“发现异常后,我们及时加强了安全策略,今后还将不断强化。”
对于本次数据泄露事件,一名业内安全专家向笔者表示,“对于微博的数据泄露,第一不能轻视,第二也不用太夸大,因为这是我们每年许多数据泄露事件中的一起。现在,随着所有互联网公司都在做数字化转型,其实每一个企业都掌握了大量客户信息。这些信息如果保护不到位的话,都会出现数据泄露。”
“无论是物理世界,还是数字世界,它都不是 100% 的安全,一定会有各种各样的风险。数据泄露,其实是数字化世界中非常普遍、需要重视的安全风险之一。”
原因分析
在今天的互联网上,数据泄露层出不穷。在 《 2019 年数据泄露全年盘点》 中,笔者从公开渠道统计出数据泄露事件一共有 43 件,涉及各行各业。
左耳朵耗子在 极客时间 的《从 Equifax 信息泄露看数据安全》中指出了数据泄露发生的原因:
利用程序框架或库的已知漏洞。比如,美国征信机构 Equifax 发生的 1.45 亿用户数据泄露,就是利用 Apache Struts 的已知漏洞;
暴力破解密码。攻击者利用密码字典库或是已经泄露的密码来“撞库”;
代码注入。通过程序员代码的安全性问题,如 SQL 注入、XSS 攻击、CSRF 攻击等取得用户的权限 ;
利用程序日志不小心泄露的信息 ;
社会工程学
此外,他还阐述了因数据管理问题而发生的数据泄露,比如只有一层安全、弱密码、向公网暴露了内部系统、安全日志被暴露、保存了不必要保存的数据和密码没有被合理地散列等。
具体到本次微博的数据泄露,这名资深安全人士指出,根据目前披露的一些信息,在很多社交平台,它都有根据用户通讯录去查找好友的功能。以微博为例,用户注册登录后,它会询问你是否要匹配通讯录中的好友。“除了微博,拼多多、京东、抖音都有类似的功能”。
这名资深安全人士说,“微博的数据泄露,很大概率可能是黑灰产的攻击者利用接口的业务功能考虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成。”
黑产或灰产会利用手中工具在本地生成大量连续的手机号,利用微博的接口,去匹配微博上面的账号。通过这种方式,它可以生成你的微博和手机信息的绑定,利用这种绑定去准确定位你的微博。“有了手机号后,可以去匹配一些其他的信息,找到你的 QQ 号、身份证号码等。匹配到一些信息后,它还可能拿到你的账户密码,然后撞库找到其他信息。”他说。
简言之,利用微博,定位到个人、手机号、微博 ID 和 QQ 号。拿到手机号和 QQ 后,再去获取身份证信息、密码信息等。
2 个小建议,让你的数据更安全
对网友而言,我们虽然是个人信息数据的拥有者,但不是数据的控制者。“当我们把信息委托给某一个平台,那我们其实将主动权交给了对方。”
作为一个普通人,我们可以采取一些举措去有效地保护个人数据:
在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦点,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;
重要信息分类使用。当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。
专家支 3 招,企业防泄露
无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。
对企业或组织机构而言,它们对数据泄露应采取积极主动的态度,避免数据泄露事件发生。
有安全专家给出了 3 条建议:
1、完善数据安全防护手段
当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。
敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
2、建立可落地的行业性数据安全规范和企业数据安全管理制度
最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求 2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。
虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。
这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”
3、提高安全意识,增加对内部数据泄露风险的防护
目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。
调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。
因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。