昨天,又有一個知名社交平臺爆出隱私數據洩露事件。
微博名為「安全_雲舒」的用戶轉發微博時稱:「很多人的手機號碼洩露了,根據微博帳號就能查到手機號……已經有人通過微博洩露查到我的手機號碼,來加我微信了。」(該微博已經刪除)
該微博信息顯示,此人為默安科技創始人兼 CTO,原阿里集團安全研究實驗室總監。
作為一個做網絡安全出身的人,想必他在這方面不會胡說八道,於是引起了網友們注意,有不少人表示有類似情況發生。
他後續表示,可能是有人通過接口薅走了一些數據,未必是數據洩露。
並且,他說來總的手機號碼也洩露了!(來總:微博 CEO 王高飛,微博名為「來去之間」)
看來這個事情可大可小,於是輕鬆驚動了微博官方的人員。
先是微博 CEO 王高飛 @來去之間 回復稱「是 2014 年以前網易那次撞庫的」。
隨後不久,認證為微博安全總監的 @羅詩堯 也在評論中回復稱「多謝關心,每隔段時間就有人在網上賣(數據),每次都會引起一波輿情,本不想回應,這條微博今後還會用得上。」
他還在個人微博上補充稱:「洩漏的手機號是 19 年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的。」
不過,當小狐我今天想去截圖時發現他已經刪除了相關微博。
針對這次爆出的「數據洩露」事件,微博方面向媒體回應,微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務,但微博不提供用戶性別和身份證號等信息,也沒有「根據用戶暱稱查手機號」的服務。
微博表示,2018 年底,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個帳號暱稱,再加上通過其他渠道獲取的信息一起對外出售。「發現異常後,我們及時加強了安全策略,今後還將不斷強化。
看到這裡劇情也基本清晰了:這些是以前洩露的,已經加強了安全策略。
其實,像這種用戶帳號數據洩露的事情,時不時都能看到,並且,我們可以通過社工庫等暗網購買到這些數據。
這次所爆出的5 億微博隱私數據,也是被明碼標價在某些平臺當作商品出售。
一般這些數據是通過「撞庫」或者「漏水」所洩露出來的。
「撞庫」簡單理解指的是通過已經收集到的用戶和密碼信息,進行批量嘗試登錄其它網站,如果恰好這個用戶在不同網站用了同一套密碼,則被成功撞庫攻擊。
「漏水」則為某些企業自身出現風險導致的數據洩露。
拿到用戶的帳號密碼後,黑客們還會收集網站上的一些附加數據,包括且不限於購物訂單記錄、開房數據、火車票購票數據等等。
如果拿到的數據足夠多,根據它們可以輕鬆描繪出一個完整的用戶畫像:姓名、照片、收入、住址、購物行為、消費習慣等等……
前面提到的社工庫則是黑客們把這些數據集中歸檔的一個地方。
細思極恐,毫不誇張地說,社工庫上關於你的數據,可能比你媽都還要了解你自己!
作為一個大數據時代,中心化的網際網路服務架構,雁過留痕,我們在網際網路上留下的數據越來越多,難免出現洩露問題。
根據《2019 年雲安全報告》顯示,在所有的數據洩露事件中,科技行業數據洩露事件最多,佔比為 37%。畢竟科技行業作為信息化、數位化程度最高的行業,在發揮數據價值方面更遊刃有餘。
往近了說,2018 年數據洩露事件中,瑞智華勝被爆出通過劫持運營商流量,竊取了 30 億條用戶數據,包括騰訊、阿里、今日頭條在內的 96 家網際網路公司數據遭到洩露;華住開房信息洩露事件,用戶 5 億條開房信息遭到洩露。
除了寄希望於各大公司提高用戶數據保護,還是希望大家能夠強化自身意識,不要再用「你的生日」之類作為密碼了,更不要把涉及到金錢的平臺帳號密碼設置得過於簡單,降低被撞庫的風險。
走,改微博密碼去了~
參考資料:虎嗅網 微博恰飯這些年,連用戶數據都管不好了?