數據是否涉及隱私?
公開信息顯示,3月4日,有暗網用戶發布了一則名為「5.38億微博用戶綁定手機號數據,其中1.72億有帳號基本信息」的交易信息,售價1388美元。
該用戶稱,這些信息「均為2019年年中左右抓取」,並給出400條綁定手機號的測試數據,以及1500條帳號基本信息的測試數據。其中綁定手機數據包括用戶的ID和手機號,帳號信息則包括用戶暱稱、頭像、粉絲數、所在地等。
微博用戶「@安全_雲舒」關於微博數據洩露的微博
該事件被媒體曝光後,微博方很快回覆:微博一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有「根據用戶暱稱查手機號」的服務。因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。
但經過《新京報》記者實測發現,不僅有暗網上的數據打包售賣,在Telegram平臺上也有灰產人士提供微博、QQ、貼吧等社交帳戶關聯手機號碼及其他信息的定向查詢服務。
據測試,Telegram平臺上售賣的微博用戶信息,其中不少信息包括用戶身份證號、手機號、密碼、生日等私密信息。
數據洩露是匹配通訊錄導致
就此次事件,微博承認數據洩露屬實。但關於起因,微博解釋稱,此次數據洩露應追溯到2018年底,當時,有用戶通過微博相關接口批量上傳通訊錄,匹配出幾百萬個帳號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
按照這個解釋,這次數據洩漏主要原因是通訊錄好友匹配攻擊導致的。有業內人士解釋稱,攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶帳號的關聯。比如通過偽造的手機號匹配好友,並不斷列舉,就能關聯出所有用戶帳號到微博ID到手機號的關係。
當然,這也說明前期微博接口安全防護沒有做到位,在關鍵數據隔離、權限分層管控、數據加密存儲等方面沒有按照統一規範流程搭建業務,導致數據被他人通過撞庫的方式獲取到。
網絡大數據集中後,給非法勢力攻擊、竊取大量信息提供了便利,由此導致的信息洩露,也給公眾帶來了不少困擾。
中消協此前發布的報告顯示,在使用APP過程中,遇到過個人信息洩露情況的受訪者佔比達85.2%。信息洩露後,約86.5%的受訪者曾收到推銷電話或簡訊的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件,排名位居前三位。我國網民因垃圾信息、詐騙信息、個人信息洩露等遭受的經濟損失一年高達915億元。
工信部強調數據分級保護
針對此次數據安全事故,工信部對新浪微博提出了四點要求,其中包括,要儘快完善隱私政策,規範用戶個人信息收集使用行為;同時要加強用戶信息分類分級保護,強化用戶查詢接口風險控制等安全保護策略等。
新浪微博被約談
企業收集公民的個人信息已成為常態,如何保護公民個人信息安全成為重要問題。
《全國人民代表大會常務委員會關於加強網絡信息保護的決定》(以下簡稱《決定》)第一條規定,「國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息」。從這一條來看,公民個人信息不僅包括傳統意義上的姓名、住址、電話、工作單位、財產狀況等物理信息,還包括個人的生物信息。
《決定》規定,「網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密,不得洩露、篡改、毀損,不得出售或者非法向他人提供」。
中同律師事務所合伙人、專職律師顧新華接受《數據》記者採訪時也曾表示,從企業的角度來說,收集了公民的個人信息後,應該承擔保護信息的義務。
顧新華提到,根據《中華人民共和國網絡安全法》規定,網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息洩露、毀損、丟失。在發生或者可能發生個人信息洩露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
(圖片來源:攝圖網)
文字丨李婷
編輯丨賀陳慧
—— 分享新聞,還能獲得積分兌換好禮哦 ——