不知道大家在玩微博童鞋的时候有没有遇到过这样的事情:你的微博账号里总会有很多新的关注列表,不是你操作的。你害怕吗?
一个安全的童鞋曾经告诉雷锋的编辑。可能是因为有人知道我的身份信息,吓得我赶紧改密码。
近几天,微博5亿多用户信息在暗网上被出售的消息也闹得沸沸扬扬。这是怎么回事?
微博被爆用户数据在暗网上被出售,回应称是旧闻?
的事情还得从微博开始,几个保安大佬。据南方日报报道,近日,多家安全监测平台监测到,暗网部分用户于3月4日发布了一条名为“微博绑定手机号数据5.38亿用户,其中1.72亿有基本账户信息”的交易信息,价格为1388美元。绑定的手机数据包括用户ID和手机号,基本账户信息包括昵称、头像、粉丝数、位置等。
【图片所有者:南方都市报】
用户在产品描述中表示,上述信息“都是2019年年中左右捕获的”,并给出了400个绑定手机号的测试数据和1500个基本账户信息的测试数据。
18日晚,摩安科技创始人兼CTO快乐路灯(安全-白色斑马)在推特上发布了此事。
很快,微博CEO辛的戒指(来来往往之间)回复“2014年之前撞库的是网易”。
3月19日上午,摩安科技CTO快乐路灯(安全-雪白斑马)发布微博(目前已删除),称通过技术查询,发现多部手机号码被泄露。网友也不断留言称疑似遭遇数据泄露,泄露的信息大部分是手机号。
“我的微博是2019年7月注册的,也能找到绑定的手机号。应该从库中取出,而不是通过接口枚举,因为大部分绑定号都可以找到,而且还有上亿的泄露数据。”
甚至有人发了一张微博个人数据打包出售的截图,标价1799元。
很快,微博回应了微博的数据泄露,承认是真的。目前已及时加强安全政策,并表示此次数据泄露不涉及身份证和密码,对微博的服务没有影响。
微博也表示,“数据泄露应该追溯到2018年底。当时,一些用户通过微博中的相关界面,通过批量电话上传通讯录,匹配数百万个账号昵称,与其他渠道获得的信息一起出售。它一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后即可使用这项服务。但微博没有提供用户性别、身份证号等信息,也没有“根据用户昵称查手机号”的服务。所以这次数据泄露不涉及身份证和密码,对微博服务没有影响。这次非法调用微博界面匹配的信息是微博账号的昵称,不涉及其他隐私数据。”(此微博也已删除)
随后,微博安全总监甜蜜季也回应:“泄露的手机号在19年通过通讯录上传界面暴力匹配,其余公开信息均在网上抓取。”
同时,甜蜜季也表示:“一些刷了19年的数据,在发现内部异常后,马上就被屏蔽了。我们第一时间报警,取证后将相关信息交给警方,同时一直在追查黑灰色产品的网上销售信息。用户隐私非常重要,尤其是涉及到手机号码的时候。”
虽然微博已经对此事给出了回应,但网友认为微博泄露用户数据可能是长期事实,并非旧闻,微博不能只在官方微博上给出这样“不咸不淡”的回应,而应该对此事给出合理的解决方案。
值得注意的是,提出问题的快乐路灯删除了多条相关微博(或限流已不可见),相关消息在甜蜜季与网友battle的微博安全负责人删除。
00-1010
“微博中的数据泄露很可能是黑灰攻击者利用界面的业务功能,通过脚本或自动化工具在本地生成大量数据造成的。”
根据Phala Trusted Network的说法,他们购买了私人数据的基础之一:Telegram(一种匿名聊天软件),通过搜索地图和通过Telegram购买服务,找出了灰色行业的整个服务架构。
首先,他们在Telegram中找到了社工群,也就是“社工银行”,然后和电报机器人聊了聊获取数据信息的方式方法。
最后输入手机/贴吧 ID /微博 ID / QQ / LOL 互相查询对应绑定信息就可以查到你想查的信息,只要有钱。【 图片来源:Phala可信网络所有者:Phala可信网络 】
重要的是,这个软件出售的不仅仅是微博相关数据,还支持 QQ 查手机/手机查 QQ ,微博 uid 查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号。
此外,还可以提供密码、快递、开房、户籍、地址、身份证 、邮箱、账户、个人征信报告等全方位的数据隐私查询服务。
根据教程,社工库以积分机制的形式贩卖服务。用户可以通过 BTC 或者以太坊为服务充值以获取积分,然后使用积分可以查询各种服务。充值积分越多,获得单个积分也就越便宜,例如 0.01 个比特币能够获得 499 积分,0.03 比特币能够获得 2303 积分,0.05 个比特币能够获得 5756 积分。
10 积分可以做一次普通查询,约等于 10 元一次;50 积分( 50 元)可以查一个贴吧/ QQ 微博套餐服务;个人征信报告则卖到了 1200 元。
所以,其实在暗网上,数据买卖很正常,我们的个人信息很可能随时在被买卖。诚然,出现数据泄露是必然事件且一直在发生。但防范此类事件发生,首先是各平台不可推卸的责任。
数据泄露危机如何解?
其实,大数据时代,数据泄露也不是什么新鲜事,难的是我们如何尽可能减少这种情况的发生,那么,各大平台应该怎么做呢?
启明星数据安全专家曾给出三条建议:对于平台而言,首先要完善数据安全防护手段,敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
其次,要建立可落地的行业性数据安全规范和企业数据安全管理制度;
最后,要提高安全意识,增加对内部数据泄露风险的防护。
而对于光亮的网络,雷锋网建议大家:
在不同平台设置不同密码,并在某个固定时间去修改所有密码。
重要信息分类使用。当获取服务时,手机要绑定个人信息,要注意被绑定的信息。
雷锋网雷锋网雷锋网
参考来源:https://mp.weixin.qq.com/s/3pvdWMuDmMrQJT1AEFcPWA
https://mp.weixin.qq.com/s/B_RqPoO8cM9Ye3asjqeHrw
https://www.toutiao.com/a6805795717215420935/