微博數(shù)據(jù)疑似大規(guī)模泄露是怎么回事 官方回應(yīng):不涉及身份證和密碼
36氪就“數(shù)據(jù)泄露”一事向微博方面求證,微博官方回復(fù)稱:
1.微博一直提供根據(jù)通訊錄手機號查詢微博好友昵稱的服務(wù),用戶授權(quán)后可以使用該服務(wù)。但微博不提供用戶性別和身份證號等信息,也沒有“根據(jù)用戶昵稱查手機號”的服務(wù)。
2.2018年底,有用戶通過微博相關(guān)接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號昵稱,再加上通過其他渠道獲取的信息一起對外出售。此次非法調(diào)用微博接口匹配出的信息為微博賬號昵稱,不涉及身份證、密碼,對微博服務(wù)沒有影響。
3.發(fā)現(xiàn)異常后,我們及時加強了安全策略,今后還將不斷強化。
對于數(shù)據(jù)泄露的原因,根據(jù)魏興國在微博上的表述,這次事件或是由于微博在2019年被人通過接口“薅走了一些數(shù)據(jù)”,而不是所謂的“數(shù)據(jù)拖庫”。
所謂數(shù)據(jù)拖庫,是指網(wǎng)站遭到入侵后,黑客竊取數(shù)據(jù)庫并將所有數(shù)據(jù)信息拿走,屬于安全領(lǐng)域非常嚴重的事故。
“像微博這樣體量的公司,被黑客大規(guī)模入侵的概率不大,它們遭遇的應(yīng)該不是拖庫。”一位安全領(lǐng)域的資深人士告訴36氪。
上述人士分析稱,出現(xiàn)這樣的數(shù)據(jù)泄露現(xiàn)象有兩種可能,一種是“撞庫”,一種是某些業(yè)務(wù)出現(xiàn)了“漏水”。
其中,“漏水”是指企業(yè)某些非核心業(yè)務(wù)團隊規(guī)模小,沒有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù),因此出現(xiàn)風險,比如沒有做好關(guān)鍵數(shù)據(jù)隔離、沒有做好權(quán)限分層管控、沒有做好數(shù)據(jù)加密存儲等。
而“撞庫”則是黑市倒賣數(shù)據(jù)的一種慣用手段。很多人喜歡將不同網(wǎng)站的密碼設(shè)置為同一個,一旦你在某個網(wǎng)絡(luò)安全能力較弱的網(wǎng)站密碼被黑客獲取,黑客就可以用該密碼循環(huán)測試其他網(wǎng)站,這種手段就叫“撞庫”。
“個人信息數(shù)據(jù)泄漏大多是在應(yīng)用層/業(yè)務(wù)這一頭泄漏的,一個是內(nèi)部的大量需要業(yè)務(wù)上接觸數(shù)據(jù)的業(yè)務(wù)類員工,一個是對外公開的接口或?qū)献骰锇榈慕涌凇?rdquo;另一位國內(nèi)網(wǎng)絡(luò)安全專家進一步向36氪表示,他從另一種角度闡明了這次事故產(chǎn)生的可能性:
這次微博個人信息數(shù)據(jù)泄漏,最可能的原因是通訊錄好友匹配攻擊導致的。很多社交app都有通過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶賬號的關(guān)聯(lián)。比如先偽造通訊錄有xxxx00001到xxxx010000手機號匹配好友,再偽造xxxx010001到xxxx020000手機號匹配好友,不斷列舉,就能關(guān)聯(lián)出微博id到手機號的關(guān)系。
“建議大公司盡量關(guān)閉通訊錄匹配功能,如果開啟,必須對此接口進行各種數(shù)據(jù)泄漏監(jiān)測和流控/風控措施。”上述人士對36氪談到。
數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)行業(yè)典型故事之一。去年11月,Twitter就出現(xiàn)過利用通訊錄匹配功能獲得百萬推特用戶賬號和手機號的數(shù)據(jù)泄漏事件,隨后 Facebook關(guān)閉了這一功能。而國內(nèi)知名的一次數(shù)據(jù)泄露數(shù)據(jù)當屬2011年的“CSDN 百萬用戶信息***”。當年有黑客在網(wǎng)上公開了知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫,高達600多萬個明文的郵箱賬號和密碼遭到***。