5億微博用戶數據洩露?暗網無人交易,專家建議用戶勤改密碼

2020-12-22 澎湃新聞

3月24日,工信部網站發布消息,3月21日,因新浪微博被爆出用戶查詢接口被惡意調用導致App數據洩露問題,工信部網絡安全管理局對新浪微博相關負責人進行了問詢約談,要求其進一步採取有效措施,消除數據安全隱患。

一位金融行業的安全工程師告訴澎湃新聞(www.thepaper.cn)記者,在暗網發布「5.38億微博用戶綁定手機號數據」的賣家最後在線時間是3月24日,目前該商品的成交量是0單,無人下單。「賣家已經警惕,在暗網上,商品頁面標註了『當前交易處於修正中,暫時不能交易』。」該安全工程師說。

對於工信部的約談,新浪微博方面表示,公司高度重視數據安全和個人信息保護,針對此次事件已採取了升級接口安全策略等措施,後續將按照工信部要求,落實企業數據安全主體責任,切實做好用戶個人信息保護工作。

暗網無人交易,Telegram查詢火熱

「微博數據洩露」的討論起源是,3月19日,微博網友@安全_雲舒轉發一條微博(已刪除)稱:「很多人的手機號被洩露,根據微博帳號就能查找手機號,相信包括明星、企業家、公務員等人在內,也包括我的手機號,來總的(微博CEO 王高飛),也包括各位的。」

隨後媒體爆出,在暗網上,有人以「5.38億微博用戶綁定手機號數據,其中1.72億有帳號基本信息」的名義,對個人信息進行售賣。同時,Telegram也在售賣隱私數據,用戶通過比特幣/ETH數字貨幣充值後,可以利用微博ID反查出手機號碼。

「Telegram並非暗網,但裡面是匿名且使用虛擬貨幣交易,在微博數據被指洩露之後,過來測試湊熱鬧的人變多了。」另一位網際網路企業的安全專家告訴澎湃新聞記者,加入Telegram平臺的社工群後,提供查詢服務的是機器人,用戶既可以根據微博ID查詢手機號碼,也可以根據姓名、身份證號、QQ來查詢。

「社工庫可以認為是所有已洩露數據的集合,在這個庫裡,微博暱稱並不是唯一的查詢方式,不過,姓名查詢更不正確,因為存在重名的情況。」該人士說,但對於陌生人而言,他可以先通過微博ID匹配出你的手機號,再利用手機號進一步關聯查詢,匹配出更多的信息。當關聯信息足夠多,一個虛擬世界「完整的你」就很可能被匹配出來。

3月23日,上述兩位安全人士對Telegram上的數據做查詢測試,其中一位通過微博ID,在Telegram上成功查詢到自己及記者的手機號碼。另一位安全專家則以自己為例進行查詢,結果顯示並不準確,匹配出的信息並非自己的個人信息。

相較於Telegram的火熱,暗網的帖子則「看的多,買的少」。

3月5日,國內的一些安全公司通過監控,發現暗網上有人兜售微博用戶數據的帖子,這條暗網帖子在近日微博爆出用戶數據洩露後進一步發酵。

暗網上關於兜售微博用戶數據的帖子

「暗網上,5.38億微博用戶綁定手機號數據的售價約合1900美元,商品頁面上是一些資料庫的欄位信息,比如,userid是用戶的唯一標誌號碼,類型為text,phone代表手機號,此外,還有微博數、粉絲數、關注數、等級、性別、地理等基本信息欄位,但這些並非關鍵信息。」上述金融行業的安全工程師告訴澎湃新聞記者,截至3月24日,該帖子的交易量依然為「0」,頁面提示限制交易。

對於能否通過微博ID匹配出名人企業家的手機號碼,這位金融行業的安全工程師告訴澎湃新聞記者:「沒有必要,早在2018年10月,暗網上就有人降價處理全國17萬董事長的信息,數據欄位則包括姓名、職位、電話和公司名稱。為了取得買家信任,董明珠、雷軍、馬化騰等人的手機號被明文列出,不用花錢就看得到,這個帖子依然在暗網掛著。」

微博用戶暱稱曾被批量匹配

按照新浪微博方面3月21日的說法,自2011年以來,微博一直提供查詢通訊錄好友微博暱稱的服務,用戶授權後可以使用該服務。但用戶僅能查詢到相關帳號暱稱,也可以隨時取消授權。此前黑客通過手機號比對服務獲得多個平臺的用戶信息,例如通訊錄好友微博暱稱、QQ號、郵箱等,並抓取微博用戶個人主頁上的公開數據,以「5.38億微博用戶綁定手機號數據,其中1.72億有帳號基本信息」的名義進行售賣。對此,微博已加強安全策略,並將詳細情況上報給司法機關。

新浪微博方面人士告訴澎湃新聞,並非微博洩露數據,而是灰產非法竊取手機號後,又非法調用了微博數據。「理論上,如果你知道一個手機號,也可以通過查找功能,找到這個人的微信和QQ號,但不能說是微信和QQ洩露了他的手機號,在這件事上,微博也是受害者。」

據了解,在2018年底,曾有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個帳號暱稱,再加上通過其他渠道獲取的信息一起對外出售。

對此,極棒實驗室安全研究員宋宇昊告訴澎湃新聞記者,如果按照微博所述,黑產是通過大數據的方式,將不同渠道洩露的信息關聯匯總,那麼微博的失責在於洩露了暱稱與手機號的關聯,導致黑產拿到這些信息後,進一步關聯到其他渠道洩露的隱私信息,這完全是在微博的控制範圍以外了。「需要提醒的是,對於平臺來說,需要嚴格保護好用戶隱私,即使暱稱手機號關聯不算很敏感的個人信息,在洩露後通過黑產大數據也會導致嚴重的後果。」 宋宇昊說。

上述不願具名的金融業安全工程師也告訴澎湃新聞記者,雖然目前尚不能確定微博是隱私數據洩露源,但確實沒有保護好用戶數據。

「道理很簡單,有人拿少量的手機號碼來匹配微博暱稱,你可以說自己是受害者,但當別人用上百萬、千萬的手機號碼來匹配暱稱,如此令人吃驚的數量級,難道微博的風控沒有發現。」這位金融業工程師告訴記者,最終受害者還是普通用戶。

安全專家建議:勤修改密碼,為自己的帳戶分等級

據悉,在工信部對新浪微博相關負責人的問詢約談中,工信部要求其按照《網絡安全法》《電信和網際網路用戶個人信息保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步採取有效措施,消除數據安全隱患:

一是要儘快完善隱私政策,規範用戶個人信息收集使用行為;

二是要加強用戶信息分類分級保護,強化用戶查詢接口風險控制等安全保護策略;

三是要加強企業內部數據安全管理,定期及新業務上線前要開展數據安全合規性自評估,及時防範數據安全風險;

四是要在發生重大數據安全事件時,及時告知用戶並向主管部門報告。

對於微博帳戶的密碼是否也會被洩露?

新浪微博在3月21的回覆中進一步表示,微博不存儲用戶明文密碼,而是採取單向加密存儲,用戶密碼並不會洩露。但是,當前安全形勢嚴峻,依然有部分用戶使用和其他平臺相同帳號密碼,可能導致其微博帳號面臨被盜的風險。站方將不斷強化安全策略,完善帳號安全設置服務,以幫助用戶提高帳號安全等級,我們同時呼籲用戶加強防範意識,保護好個人帳號。

平臺採取單向加密存儲,是否就能保證用戶密碼萬無一失?對此,上述網際網路行業安全專家告訴澎湃新聞記者,即使是加密儲存,對於攻擊者而言,也有「彩虹表」可查。「這個表是歷史上所有洩露的密碼字典集合,比如,如果一個平臺的伺服器被盜取,攻擊者並不能直接逆向得到你的密碼,但可以在彩虹表裡查到密文對應的明文,從而破解密碼。所以,平臺在做單向加密的存儲同時,要注重密碼的獨特性,也叫『加鹽』。」

上述金融行業安全工程師則建議用戶勤修改密碼,除了微博,應該為自己名下的各類帳戶分類。「涉及郵箱(綁定多個帳號)、網盤、學校(如學信網)、政府機構(如公積金)等帳戶密碼應作為特重要密碼,與普通帳戶密碼保持差異。」

(本文來自澎湃新聞,更多原創資訊請下載「澎湃新聞」APP)

相關焦點

  • 微博5億用戶數據洩露續:前年事發,不涉密碼 但在國外平臺可查
    19日,南都曾發文《微博5億用戶綁定手機號在暗網出售 或因通訊錄接口遭暴力匹配》,微博對此作出了回應。據《AI財經社》報導,微博稱此次數據洩露發生於2018年底,但不涉及身份證和密碼,不影響服務。不過,有安全圈人士實測發現,在跨平臺即時通訊軟體Telegram上,可以通過微博Oid(對象標識符)查到帳號密碼、郵箱,進而獲得真實姓名、身份證號等個人信息。由於Oid公開可得,理論上任何人都可以進行查詢。整個事件源於暗網的一則交易信息。
  • 微博5億多用戶信息在暗網被交易,價格驚人,網友:暗網是什麼
    信息洩露,價格驚人據環球時報消息,工信部官網在3月24號發出公告:3月21日,針對媒體報導的新浪微博因用戶查詢接口被惡意調用導致APP數據洩露,工信部網絡安全管理局就新浪微博相關負責人進行了問詢約談。事件回顧:3月4號,在暗網有一則交易信息標價1388美元,售賣的商品竟然是5.38億微博用戶的私人信息,這些信息包含用戶的手機號,其中有1.72億含有用戶的ID,頭像,粉絲數,所在地等敏感信息。經過測試,部分數據是真實的。想想這麼龐大的用戶數據卻只賣了這麼低的價格,不得不讓人吃驚。
  • 微博可能洩露5億用戶手機號,用戶信息或在暗網出售
    [PConline 資訊]昨天(3月19日),微博網友@安全_雲舒(微博認證為默安科技創始人兼CTO,原阿里集團安全研究實驗室總監)轉發了一條微博,掀起了一場關於 「微博數據洩露」 的討論。雲舒稱很多人手機號碼洩露了,根據微博帳號可以查到手機號。
  • 微博被爆超 5 億用戶數據在暗網被出售,官方回應稱:舊聞,都散了吧
    一位搞安全的童鞋曾經告訴雷鋒網(公眾號:雷鋒網)編輯,這很可能是因為有人知道我的身份信息,嚇得我趕緊去改了密碼。最近幾天,微博被爆超 5 億用戶信息在暗網上被出售的消息也是鬧的沸沸揚揚,究竟怎麼回事呢?微博被爆用戶數據在暗網上被出售,回應稱是舊聞?事情還要從幾個安全大佬的微博說起。
  • 5.38億條微博用戶信息洩露?回應:只是微博暱稱,不涉及隱私
    5.38億條微博用戶信息在暗網出售,根據微博帳號就能查到手機號?3月19日,有網友爆料微博存在數據洩露的情況,1.72億條微博帳戶基本信息,售價1388美元/0.177比特幣,包括用戶ID、帳號發布的微博數、粉絲數、關注數、性別、地理位置等。甚至有網友稱已經有人通過微博洩露查到自己的手機號碼來加微信了。微博對此回應稱,數據洩露屬實,目前微博已經及時加強了安全策略,並將不斷強化。
  • 暗網裡交易的5億用戶隱私丨專欄
    一、5億用戶隱私數據洩漏大東:小白,玩社交軟體嗎?小白:玩呀~大東:啥時候開始玩的?小白:這怕是要追溯到高中時期...大東:就在前幾日,3月19日,某社交網站用戶稱:「很多人的手機號碼洩露了,根據該社交網站帳號就能查到手機號……已經有人通過洩露的手機號碼,來加我微信了。」小白:真的假的!大東:在這條狀態下,有不少網友留言表示自己也疑似遭遇了數據洩露。涉及到的帳號信息包括用戶ID、帳號發布的文章數、粉絲數、關注數、性別、地理位置等。小白:天惹嚕~快給我講講!
  • 暗網來啦:來不及解釋了,快改密碼!
    第九區導語:順豐在官方微博表示,「暗網所售數據並非順豐數據」。但又有消息說,「據記者(成都商報-紅星新聞)實測,20條中17人為順豐客戶」。在數據安全的問題上沒有萬全之策,我們只有一路謹慎前行。孰真孰假9月1日,有媒體報導在暗網交易網上有賣家以「順豐3億條快遞物流獨家數據」為題目出售用戶數據,價格為2個比特幣(以今日價格計算,折合人民幣約9.6萬元)雖然順風對此已回應:「公司已第一時間報警,經技術手段交叉驗證,暗網所售數據非順豐數據」。但又有消息稱,「據記者(成都商報-紅星新聞)實測,20條中17人為順豐客戶」。
  • 擴散丨12306用戶數據遭洩露,趕緊去改密碼!
    關注新浪無錫,盡覽錫城資訊 ≥▽≤12月25日,有漏洞發布平臺消息稱,大量12306用戶數據在網際網路瘋傳
  • 開房信息洩露引出「暗網」黑色交易生態
    「暗網」論壇中存在大量出售個人信息內容。翻拍手機屏幕「暗網」論壇一則帖子包含出售槍枝彈藥的信息。翻拍手機屏幕常用網際網路無法直接訪問,登錄論壇需多重特殊手段,內容含有槍枝彈藥、毒品等大量非法信息8月28日,華住集團旗下連鎖酒店用戶信息被曝疑似洩露,賣家在「暗網」打包售賣5億條住客數據。
  • 微博5億用戶綁定手機號在暗網出售 或因通訊錄接口遭暴力匹配
    近日,暗網出現一則出售「5.38億微博用戶綁定手機號數據」的交易信息。經安全圈人士驗證,部分測試數據屬實。對此,微博安全總監羅詩堯回應稱,這些手機號是2019年通過通訊錄上傳接口被暴力匹配的,內部發現後第一時間已報警。
  • 新浪微博用戶手機號、密碼等信息被出售?官方回應了
    3月21日,@微博安全中心發布有關「微博用戶信息被出售事件」的說明。近日有報導稱,微博用戶信息在暗網上被出售,涉及信息包括手機號、密碼等。對此,站方說明如下:1.自2011年以來,微博一直提供查詢通訊錄好友微博暱稱的服務,用戶授權後可以使用該服務。但用戶僅能查詢到相關帳號暱稱,也可以隨時取消授權。
  • Instagram下載數據副本工具出漏洞:用戶密碼或洩露
    《Instagram下載數據副本工具出漏洞:用戶密碼或洩露》文章已經歸檔,不再展示相關內容,編輯建議你查看最新於此相關的內容:而在網絡上銷售產品,因為負責銷售的商店、負責存儲的倉庫、負責生產的工廠,甚至包括負責把產品最終交到消費者手裡的快遞物流公司,這些實體的店家最終都要通過一張虛擬的網,網上的每一
  • 新浪微博被工信部約談 數據洩露幾時休?
    數據是否涉及隱私?公開信息顯示,3月4日,有暗網用戶發布了一則名為「5.38億微博用戶綁定手機號數據,其中1.72億有帳號基本信息」的交易信息,售價1388美元。該用戶稱,這些信息「均為2019年年中左右抓取」,並給出400條綁定手機號的測試數據,以及1500條帳號基本信息的測試數據。
  • 疑似順豐3億條信息洩露 牽出令人恐怖的暗網黑色交易鏈
    繼8月28日華住5億用戶隱私信息洩露事件引發熱議後,今天一則【#疑似順豐用戶3億條數據被洩露#,售價兩個比特幣!順豐公司已報警】刷屏微博頭條。事件發生後,順豐方面回應稱公司已第一時間報警,經技術手段交叉驗證,暗網所售數據非順豐數據。其次暗網所售數據均不涉及快件單號、託寄物、收發件時間等物流特徵信息,其來源不明,冠以順豐名義目的可疑。
  • 數據販賣網站WeLeakInfo被FBI查封 洩露超120億用戶密碼
    該網站出售多起數據洩露事件,包括用戶名和密碼等信息。與此同時,聯邦調查局與英國國家犯罪局、荷蘭國家警察局、德國聯邦警察局和北愛爾蘭警察局共同合作,查封了該網站的域名,並將網站重定向至查封通知。據稱,WeLeakInfo在一萬多起數據洩露中收集了超過 120 億用戶名和密碼。具體信息包括:姓名、電子郵件地址、用戶名、電話號碼、在線帳戶和密碼。
  • 你的手機號、密碼可能正在暗網被交易
    可能有人就納悶到底是哪裡洩露了自己的信息呢?近日據相關媒體報導稱有微博用戶信息在暗網上被私底下交易其中包括手機號、密碼等今天(21日)@微博安全中心 發布有關「微博用戶信息被出售事件」的說明近日有報導稱,微博用戶信息在暗網上被出售,涉及信息包括手機號、密碼等。
  • 警惕:你的手機號和密碼可能正在暗網被交易!
    靚號之家 你我都買得起靚號的App-LIANGHAO | 靚號之家「導讀:「「警惕:你的手機號和密碼可能正在暗網被交易近日據相關媒體報導稱有微博用戶信息在暗網上被私底下交易其中包括手機號、密碼等昨天(21日)@微博安全中心 發布有關「微博用戶信息被出售事件」的說明近日有報導稱,微博用戶信息在暗網上被出售,涉及信息包括手機號、密碼等。
  • 微博隱私數據洩漏,我買到了自己的手機號!
    新浪微博作為國內擁有5億用戶的頭部社交平臺,其平臺的信息數據一旦洩露,上億人的個人隱私和安全將受到威脅。就在昨天,默安科技CTO魏興國發布了一條微博,宣稱目前很多人的手機號和微博帳號已經被洩露,其中甚至包括微博CEO王高飛。
  • 2.67億個Facebook帳戶信息在暗網出售,只賣600美元?
    上周,根據網絡安全公司Cyble透露,53萬Zoom帳號在暗網上公開叫賣,1個帳號的價格只有0.002美分,總價也才10美元左右。Cyble買下了這53萬個帳戶信息,用來給用戶發帳戶洩露風險的提示。如今,Cyble發現,又有2.67億Facebook用戶信息被盜,包括姓名、郵箱地址、電話、社會身份、性別等,這些信息在暗網上以僅600美元的價格出售。目前,尚未清楚這些信息是如何在第一時間被洩露的,不過根據Cyble工作人員的說法,很可能是第三方API洩露或報廢導致的。
  • 全球第二大暗網交易平臺被端 華住開房信息也曾被拿上暗網叫賣
    比如去年8月,有賣家在暗網的一個中文交易論壇發帖稱,打包出售華住旗下酒店的住客信息,華住旗下包括了漢庭、全季、桔子水晶等酒店。出售的信息涵蓋了華住官網註冊資料、酒店入住登記的身份信息及酒店開房記錄,住客姓名、手機號、郵箱、身份證號、登錄帳號密碼等,共約5億條數據。其中有1.3億人的身份證信息和2.4億條開房記錄。