19日,南都曾發文《微博5億用戶綁定手機號在暗網出售 或因通訊錄接口遭暴力匹配》,微博對此作出了回應。據《AI財經社》
報導,微博稱此次數據洩露發生於2018年底,但不涉及身份證和密碼,不影響服務。
不過,有安全圈人士實測發現,在跨平臺即時通訊軟體Telegram上,可以通過微博Oid(對象標識符)查到帳號密碼、郵箱,進而獲得真實姓名、身份證號等個人信息。由於Oid公開可得,理論上任何人都可以進行查詢。
整個事件源於暗網的一則交易信息。
3月4日,有暗網用戶發布了一則名為「5.38億微博用戶綁定手機號數據,其中1.72億有帳號基本信息」的交易信息,售價1388美元。其中綁定手機數據包括用戶ID和手機號,帳號基本信息包括暱稱、頭像、粉絲數、所在地等。
經多人驗證,給出的測試數據部分真實,2018年10月底和2019年7月份註冊的帳號也都可查,並非如微博CEO王高飛(@來去之間)所說「是2014年以前網易那次撞庫的」。
微博安全總監羅詩堯則解釋稱,此次洩露的手機號是「2019年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的」,並表示微博內部發現異常後「馬上堵住了口子」,第一時間報了警(相關微博已被刪除)。
此後,微博對《AI財經社》表示,此次數據洩露應該追溯到2018年底。當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個帳號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
微博還強調,微博一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,但不提供用戶性別和身份證號等信息,也沒有「根據用戶暱稱查手機號」的服務。因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。未來微博將不斷強化安全保護策略。
然而,有安全圈人士發文稱,在Telegram找到了售賣微博數據的一個自動交易機器人,並成功買到了同事的姓名、手機號、QQ號、微博帳號密碼、郵箱等,再利用平臺提供的其他服務,位置信息、戶籍、地址、身份證號也都可查。
「看來不止手機號和帳號洩露,但和暗網出售的數據是不是同一批就不清楚了」,一位資深安全人士告訴南都記者,Telegram是很多地下交易的場所,除了微博數據,可能還有其他平臺的數據,充值後即可向機器人查詢 。
採寫:南都記者蔣琳
綜合AI財經社
—— 分享新聞,還能獲得積分兌換好禮哦 ——