江苏龙网

  1. 首页 > 资讯 > 财经 > >

『用户』5亿微博用户数据泄露?暗网无人交易,专家建议用户勤改密码

3月24日,工信部网站发布消息,3月21日,因新浪微博被爆出用户查询接口被恶意调用导致App数据泄露问题,工信部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其进一步采取有效措施,消除数据安全隐患 。
一位金融行业的安全工程师告诉澎湃新闻采访人员,在暗网发布“5.38亿微博用户绑定手机号数据”的卖家最后在线时间是3月24日,目前该商品的成交量是0单,无人下单 。“卖家已经警惕,在暗网上,商品页面标注了‘当前交易处于修正中,暂时不能交易’ 。”该安全工程师说 。
对于工信部的约谈,新浪微博方面表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作 。
暗网无人交易,Telegram查询火热
“微博数据泄露”的讨论起源是,3月19日,微博网友@安全_云舒转发一条微博(已删除)称:“很多人的手机号被泄露,根据微博账号就能查找手机号,相信包括明星、企业家、公务员等人在内,也包括我的手机号,来总的(微博CEO王高飞),也包括各位的 。”
随后媒体爆出,在暗网上,有人以“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的名义,对个人信息进行售卖 。同时,Telegram也在售卖隐私数据,用户通过比特币/ETH数字货币充值后,可以利用微博ID反查出手机号码 。
“Telegram并非暗网,但里面是匿名且使用虚拟货币交易,在微博数据被指泄露之后,过来测试凑热闹的人变多了 。”另一位互联网企业的安全专家告诉澎湃新闻采访人员,加入Telegram平台的社工群后,提供查询服务的是机器人,用户既可以根据微博ID查询手机号码,也可以根据姓名、身份证号、QQ来查询 。
“社工库可以认为是所有已泄露数据的集合,在这个库里,微博昵称并不是唯一的查询方式,不过,姓名查询更不正确,因为存在重名的情况 。”该人士说,但对于陌生人而言,他可以先通过微博ID匹配出你的手机号,再利用手机号进一步关联查询,匹配出更多的信息 。当关联信息足够多,一个虚拟世界“完整的你”就很可能被匹配出来 。
3月23日,上述两位安全人士对Telegram上的数据做查询测试,其中一位通过微博ID,在Telegram上成功查询到自己及采访人员的手机号码 。另一位安全专家则以自己为例进行查询,结果显示并不准确,匹配出的信息并非自己的个人信息 。
相较于Telegram的火热,暗网的帖子则“看的多,买的少” 。
3月5日,国内的一些安全公司通过监控,发现暗网上有人兜售微博用户数据的帖子,这条暗网帖子在近日微博爆出用户数据泄露后进一步发酵 。
『用户』5亿微博用户数据泄露?暗网无人交易,专家建议用户勤改密码
文章图片

暗网上关于兜售微博用户数据的帖子
“暗网上,5.38亿微博用户绑定手机号数据的售价约合1900美元,商品页面上是一些数据库的字段信息,比如,userid是用户的唯一标志号码,类型为text,phone代表手机号,此外,还有微博数、粉丝数、关注数、等级、性别、地理等基本信息字段,但这些并非关键信息 。”上述金融行业的安全工程师告诉澎湃新闻采访人员,截至3月24日,该帖子的交易量依然为“0”,页面提示限制交易 。
对于能否通过微博ID匹配出名人企业家的手机号码,这位金融行业的安全工程师告诉澎湃新闻采访人员:“没有必要,早在2018年10月,暗网上就有人降价处理全国17万董事长的信息,数据字段则包括姓名、职位、电话和公司名称 。为了取得买家信任,董明珠、雷军、马化腾等人的手机号被明文列出,不用花钱就看得到,这个帖子依然在暗网挂着 。”
微博用户昵称曾被批量匹配
按照新浪微博方面3月21日的说法,自2011年以来,微博一直提供查询通讯录好友微博昵称的服务,用户授权后可以使用该服务 。但用户仅能查询到相关账号昵称,也可以随时取消授权 。此前黑客通过手机号比对服务获得多个平台的用户信息,例如通讯录好友微博昵称、QQ号、邮箱等,并抓取微博用户个人主页上的公开数据,以“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的名义进行售卖 。对此,微博已加强安全策略,并将详细情况上报给司法机关 。


推荐阅读


上一篇:[中国青年报]如何避免“宅娃”荒于嬉,网游消费激增

下一篇:「奥运会」东京奥运会推迟至2021年举办,直接经济损失约60亿美元