|
|
|
联系客服020-83701501

微博疑似数据泄露?用户信息不值0.2个比特币!

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  3月19日,有微博用户转发了微博,称:“很多人的手机号码被泄露了,可以根据微博账号找到手机号......有人已经通过微博泄露找到了我的手机号码,添加我的微信。”在其微博下,许多网民留言说他们也怀疑有数据泄露。

微博疑似数据泄露?用户信息不值0.2个比特币!

  更多用户表示,在暗网上发现了5.38亿条微博用户信息被出售,其中1.72亿条有基本账户信息,售价为0.177比特币。所涉及的账户信息包括用户ID、账户发布的微博数量、粉丝数量、关注数量、性别、地理位置等。

  作为回应,微博称数据泄露是真的。目前,微博已经及时加强了安全策略,并将继续加强。

  微博还说,“这次数据泄露应该追溯到2018年底。当时,一些用户通过微博的相关接口批量上传通讯录,将匹配出几百万个账号昵称与其他渠道获得的信息一起出售。它一直提供根据通讯录的电话号码查询微博好友昵称的服务。用户可以在授权后使用该服务。但是,微博不提供用户的性别和身份证号码等信息,也不提供“根据用户的昵称查手机号码”的服务,因此,此次数据泄露不涉及身份证和密码,对微博服务没有影响。这一非法调用微博接口所匹配的信息是微博账户昵称,不涉及其他私人数据。

  然而,一些用户表示,他们的个人微博绑定信息,包括姓名、电子邮件、地址、手机号码、微博账号、密码等8项信息,已经可以在暗网上买到。暗网以“赞助”的形式收取费用。然而,每个人泄露的数据类型和数量也是不同的。一些用户表示,他们在暗网上购买了自己的微博绑定信息,包括旧密码、身份证号码、车牌号码、贴吧绑定的账号、绑定的qq号码等。

  经过核实,上面图片中的微博内容并没有在用户的主页上找到,只留下用户昨晚转发的一条微博说:“btw,我只是说数据泄露,没说是脱裤哈。看来2019年是通过接口被人薅走了一些数据”。

  对此,微博安全总监罗诗尧表示:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”

  罗诗尧说:“19年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”

  该用户的微博被认证为“默安科技创始人兼CTO,原阿里集团安全研究实验室总监”。天眼查显示,默安科技成立于2016年4月,首席执行官聂万泉是原阿里云平台安全总监,COO汪利辉是前阿里巴巴安全应急响应中心负责人。去年12月11日,该公司完成了由琥珀资本领投的近2亿元的B轮融资。

  针对“数据泄露”事件,微博回应搜狐科技,微博一直在提供根据通讯录手机号查询微博好友昵称的服务,用户可以在授权后使用该服务。然而,微博不提供用户的性别和身份证号码等信息,也不提供“根据用户昵称查询手机号码”的服务。

  据微博称,2018年底,有用户通过微博相关接口批量上传通讯录,匹配出几百万个账号昵称与其他渠道获得的信息一起出售。此次非法调用微博接口匹配的信息是微博账号昵称,不涉及身份证和密码,对微博服务没有影响。“在发现异常情况后,我们及时加强了我们的安全策略,并将在未来继续加强。”

  如何防止数据泄漏事件发生

  无论是企业还是个人都需要有一定程度的安全意识。在任何互联网平台上注册使用时,我们必须注意信息的隐私保护。作为企业,更有必要加强自身内部环境下日常生产和生活中产生的数据,尤其是加强对用户相关数据的保护。正因为互联网上数据泄露事件的频繁发生,也为互联网企业敲响了警钟。因此,防止数据泄露已经成为时代发展中企业迫切需要解决的问题。

  完善数据安全防护手段

  目前,企业数据安全主要采用网络边界保护和终端管控措施:防范计算机病毒、网络攻击和网络入侵,缺乏对内容的深度识别或感知技术,缺乏对敏感数据的全方位管理和安全管理措施。

  什么是敏感数据,存储在哪里,流经哪些节点,以及数据泄漏后如何溯源追责,企业应该采取相应的数据安全产品和技术手段来解决这些问题。

  网站部署SSL证书作为基本的安全保护,对网站数据传输进行加密,防止用户误入钓鱼网站,部署SSL证书后的严谨加密系统有效防止第三方窃取、篡改、流量劫持等行为,从而确保用户数据的安全。

  建立企业数据安全管理制度

  近年来,数据安全逐渐被纳入国家法规和行业标准,包括《网络安全法》、《网络安全等级保护基本要求 2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。

  这些颁布的法律法规对数据安全和个人信息保护做出了明确的立法规定,对各种组织承担的数据安全保障义务和责任做出了明确的要求,并确保个人能够安全地控制其个人信息。

  有专家表示:“如果上述法规要指导企业实施具体的数据安全保护措施,还需要结合具体的行业特点,明确要求数据安全保护的技术措施,以增强可落实性和可执行性。”

  提高安全意识

  目前,企业在数据安全方面的投入主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等。然而,这些技术手段很难识别和保护内部人员有意或无意的泄露行为。

  调查结果显示,绝大部分泄漏风险来自企业内部,其中邮件发送和网络上传是最方便的两种数据传输方式,也是泄漏概率最高的两个渠道。

  因此,企业应加强内部员工或运维人员的安全意识管理,加大防数据泄漏产品的投入,对内部人员的泄漏行为实施检测和管控,降低内部人员有意或无意的复制、外发和上传等带来的数据泄漏风险。

数安新闻+更多

证书相关+更多