微博最近又火了,还是互联网最严重的的安全事件——数据泄露。
3月19日,微博认证为“ 默安科技创始人,原阿里集团安全研究实验室总监”的网友@安全_云舒 转发了一条微博并称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”
随后,在微博下的留言中进一步表示,他通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了,我昨晚查过。”(“来总”指微博CEO)
在其微博下,不少人留言表示自己也疑似遭遇了数据泄露,更有网友表示,发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
有人发现在名为社工库机器人的黑产平台,可以通过微博ID可以查到很多人的名字、手机号和身份证号等更多个人信息!而且价格门槛特别低,只需要0.0138ETH,大约十块钱一次!
据自媒体Phala可信网络汇总,黑产平台有以下几种查询方式:
1、选择批量查询→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、密码等信息。
2、选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括:绑定QQ、绑定手机、微博主页地址。
3、输入绑定QQ,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、QQ关联账号、QQ密码。
4、输入绑定手机,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机。
5、直接查询真实姓名:机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址。
6、直接查询身份证号:机器人输出身份证号和真实姓名。
很不幸,倪叔也中招了。
随后微博官方回复36氪称:
1、微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。
2、2018年底,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。
3、发现异常后,我们及时加强了安全策略,今后还将不断强化。
微博的回应概括一下就是,手机号早就泄露了,其余信息是通过其他渠道获取的,跟微博没有关系,不影响微博使用。
微博这种态度,多少让人有点火大。不重要信息泄露,就不算泄露,不影响微博服务,影不影响用户?
不论是泄露的数据究竟是什么,微博作为一家用户几亿的国内信息社交平台,手中掌握了大量的用户数据,就应当为这些数据的安全保驾护航。
而且既然已经发生了类似的数据泄露事件,微博也并没有警示用户个人隐私泄露的风险,提醒用户采取相应行动避免损失,而是告诉用户:尽管数据泄露了,但情况不严重,大家可以放心。
根据《 信息安全技术个人信息安全规范》规定,个人敏感信息如果泄露,应及时实施安全事件的告知,将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;告知内容应包括但不限于:
1、安全事件的内容和影响;
2、已采取或将要采取的处置措施;
3、个人信息主体自主防范和降低风险的建议;
4、针对个人信息主体提供的补救措施;
5、个人信息保护负责人和个人信息保护工作机构的联系方式。
微博这个声明表示出不在意的态度,完全是漠视用户权益的一种表现。
不过这很新浪,仔细想来自从腾讯微博败北以后,新浪微博已经很久没有对手了。
最近几年的种种骚操作,不管是顶着全民怒火撤热搜,还是莫名其妙给你关注一堆账号,又或者一不小心点到微博推广的广告就开始自动下载,它好像从来没把用户放在过眼里。
用户对新浪微博已经积怨已久,可以说天下苦微博久异矣,若是新浪微博再不反省,恐怕下次再有巨头进攻微博这块肥肉,就是新浪微博的末日了。
