江苏龙网

  1. 首页 > 资讯 > 科技 > >

信息安全:对话“黑市”卧底:微博信息泄露究竟有多大风险?


信息安全:对话“黑市”卧底:微博信息泄露究竟有多大风险?
本文插图

【信息安全:对话“黑市”卧底:微博信息泄露究竟有多大风险?】
3月19日 , 微博用户“@安全_云舒”发文称很多人手机号码被泄露 , 根据微博账号可以查到手机号 。 随后微博方面回应称 , 确实存在手机号泄露 , 但没有密码泄露 。 事件发生后 , 佟林(Phala隐私协议创始人)以卧底的方式进入泄露数据的“地下”交易环境 , 摸清了灰产的整个服务架构 , 并公开发文披露 。 发文不到24小时 , 他本人的身份信息也遭到恶意散播 。 我们联系到佟林 , 他讲述了这次的卧底调查以及目前的信息灰产问题 。
▌关键信息的泄露大大降低了“人肉”的门槛
南都观察 :3月19日爆出微博信息泄露事件后 , 你通过卧底的方式去还原了整个信息交易的灰产架构 , 当时为什么会决定做这么一个事情呢?
佟 林 :研究生毕业后 , 我在互联网行业工作了三年 , 先后就职于腾讯和滴滴 。 后来我接触到Web3.0的概念——一种建立于开放、去信任化、尊重网络公民权利的未来网络形态 。 虽然它还只是一个概念 , 但比起之前在互联网公司的工作 , 这件事更符合我心中的价值观和理想 , 于是我开始创业 , 主要方向就是Web3.0的数据隐私保护解决方案 。 所以我一直在观察这个领域的市场 , 做一些调研 , 也输出一些产品和技术解决方案 。 扫描到微博泄露这个事件后 , 我个人比较好奇这次泄露是否涉及微博密码 , 还想知道具体情况如何 , 于是就卧底进入了这样一个交易环境 。
在整个交易环境摸索了一圈之后 , 我发现整个事件比我想象的还要可怕 。 虽然我不能确认微博密码是否被泄露 , 但可以确认的是 , 通过微博账号就可以查到对应的手机号 , 而且它的数据准确度、交易流程已经进化得非常厉害了 , 可以完成自动交易 , 就像是“黑市的淘宝” 。 我本身从事于隐私保护领域 , 平常也会呼吁大家重视隐私安全 , 所以在搞清楚整个交易环节后 , 我决定把它发出来 , 向公众披露 。
南都观察 :对于你刚刚提到的“Web3.0的数据隐私保护解决方案” , 它是怎样的一种解决路径或产品形态?
佟 林 :简单来说 , 这种解决方案的思路是基于“我不信任任何公司或个人”的假设 。 比如在这次事件中 , 我是因为相信微博所以才输入我的账号和密码 , 交给微博保管 , 但微博“辜负”了我 。 而Web3.0想要做的就是一套去信任化的数据保护与使用的解决方案 , 它的核心假设就是不相信任何人 , 而是选择相信数学或是密码 , 然后基于这种假设去设计互联网底层的设施和架构 。 不过这种方案避免不了用户自己安全意识弱导致的密码泄露 , 也无法让已经泄露的数据被挽回 。
南都观察 :在你看来这次信息泄露是偶然事件吗?
佟 林 :信息泄露或者说信息安全问题是必然存在的 , 在安全界就不存在“无风险” 。 这次微博泄露应该是微博接口的安全问题被暴露 , 而不是更严重的“拖库”(指从数据库中导出数据 , 如今多指黑客入侵网站窃取数据库的行为) 。 可只要我们信任互联网公司提供的服务 , 把账号密码输入进去 , 就只能指望他们不出事 , 然而事实是人在管理数据 , 出事是必然的 。
南都观察 :据说这次信息泄露涉及5亿多用户 , 这些被泄露了信息的用户会有什么安全隐患吗?
佟 林 :因为微博的用户量非常大 , 所以即使暴露的只是手机号也非常可怕 。 我在调查整个产业链时发现 , 这次涉及的“社工库”(大量外泄的用户隐私数据集合地)已经将大部分历史上的黑产数据融合在一起了 , 而且交易体验相当顺滑且隐秘 , 工具链也很齐全 。 这就意味着 , 虽然这次微博泄露只是涉及微博ID和手机号这样一个关联信息 , 不涉及其他信息 , 但只要有了手机号 , 就可以不断使用工具查出对方的户口本、定位轨迹、银行流水等信息 。


推荐阅读


上一篇:#2019科技之光#信息显示POCO F2将发布!或是海外版Redmi K30 Pro

下一篇:「我的第一部5G手机」秦皇岛快报:5G时代已来,卢龙移动与您同行