3月24日,工信部网站发布消息,3月21日,因新浪微博被爆出用户查询接口被恶意调用导致app数据泄露问题,工信部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其进一步采取有效措施,消除数据安全隐患。
一位金融行业的安全工程师告诉澎湃新闻(www.thepaper.c++n)记者,在暗网发布“5.38亿微博用户绑定手机号数据”的卖家最后在线时间是3月24日,目前该商品的成交量是0单,无人下单。“卖家已经警惕,在暗网上,商品页面标注了‘当前交易处于修正中,暂时不能交易’。”该安全工程师说。
对于工信部的约谈,新浪微博方面表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
暗网无人交易,telegram查询火热
“微博数据泄露”的讨论起源是,3月19日,微博网友@安全_云舒转发一条微博(已删除)称:“很多人的手机号被泄露,根据微博账号就能查找手机号,相信包括明星、企业家、公务员等人在内,也包括我的手机号,来总的,也包括各位的。”
随后媒体爆出,在暗网上,有人以“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的名义,对个人信息进行售卖。同时,Telegram也在售卖隐私数据,用户通过比特币/ETH数字货币充值后,可以利用微博ID反查出手机号码。
“Telegram并非暗网,但里面是匿名且使用虚拟货币交易,在微博数据被指泄露之后,过来测试凑热闹的人变多了。”另一位互联网+企业的安全专家告诉澎湃新闻记者,加入Telegram平台的社工群后,提供查询服务的是机器人,用户既可以根据微博ID查询手机号码,也可以根据姓名、身份证号、qq来查询。
“社工库可以认为是所有已泄露数据的集合,在这个库里,微博昵称并不是唯一的查询方式,不过,姓名查询更不正确,因为存在重名的情况。”该人士说,但对于陌生人而言,他可以先通过微博ID匹配出你的手机号,再利用手机号进一步关联查询,匹配出更多的信息。当关联信息足够多,一个虚拟世界“完整的你”就很可能被匹配出来。
3月23日,上述两位安全人士对Telegram上的数据做查询测试,其中一位通过微博ID,在Telegram上成功查询到自己及记者的手机号码。另一位安全专家则以自己为例进行查询,结果显示并不准确,匹配出的信息并非自己的个人信息。
相较于Telegram的火热,暗网的帖子则“看的多,买的少”。
3月5日,国内的一些安全公司通过监控,发现暗网上有人兜售微博用户数据的帖子,这条暗网帖子在近日微博爆出用户数据泄露后进一步发酵。
暗网上关于兜售微博用户数据的帖子
“暗网上,5.38亿微博用户绑定手机号数据的售价约合1900美元,商品页面上是一些数据库的字段信息,比如,userid是用户的唯一标志号码,类型为text,phone代表手机号,此外,还有微博数、粉丝数、关注数、等级、性别、地理等基本信息字段,但这些并非关键信息。”上述金融行业的安全工程师告诉澎湃新闻记者,截至3月24日,该帖子的交易量依然为“0”,页面提示限制交易。
对于能否通过微博ID匹配出名人企业家的手机号码,这位金融行业的安全工程师告诉澎湃新闻记者:“没有必要,早在2018年10月,暗网上就有人降价处理全国17万董事长的信息,数据字段则包括姓名、职位、电话和公司名称。为了取得买家信任,董明珠、雷军、马化腾等人的手机号被明文列出,不用花钱就看得到,这个帖子依然在暗网挂着。”
微博用户昵称曾被批量匹配
按照新浪微博方面3月21日的说法,自2011年以来,微博一直提供查询通讯录好友微博昵称的服务,用户授权后可以使用该服务。但用户仅能查询到相关账号昵称,也可以随时取消授权。此前黑客通过手机号比对服务获得多个平台的用户信息,例如通讯录好友微博昵称、qq号、邮箱等,并抓取微博用户个人主页上的公开数据,以“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的名义进行售卖。对此,微博已加强安全策略,并将详细情况上报给司法机关。
新浪微博方面人士告诉澎湃新闻,并非微博泄露数据,而是灰产非法窃取手机号后,又非法调用了微博数据。“理论上,如果你知道一个手机号,也可以通过查找功能,找到这个人的微信和QQ号,但不能说是微信和QQ泄露了他的手机号,在这件事上,微博也是受害者。”
据了解,在2018年底,曾有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
对此,极棒实验室安全研究员宋宇昊告诉澎湃新闻记者,如果按照微博所述,黑产是通过大数据的方式,将不同渠道泄露的信息关联汇总,那么微博的失责在于泄露了昵称与手机号的关联,导致黑产拿到这些信息后,进一步关联到其他渠道泄露的隐私信息,这完全是在微博的控制范围以外了。“需要提醒的是,对于平台来说,需要严格保护好用户隐私,即使昵称手机号关联不算很敏感的个人信息,在泄露后通过黑产大数据也会导致严重的后果。” 宋宇昊说。
上述不愿具名的金融业安全工程师也告诉澎湃新闻记者,虽然目前尚不能确定微博是隐私数据泄露源,但确实没有保护好用户数据。
“道理很简单,有人拿少量的手机号码来匹配微博昵称,你可以说自己是受害者,但当别人用上百万、千万的手机号码来匹配昵称,如此令人吃惊的数量级,难道微博的风控没有发现。”这位金融业工程师告诉记者,最终受害者还是普通用户。
安全专家建议:勤修改密码,为自己的账户分等级
据悉,在工信部对新浪微博相关负责人的问询约谈中,工信部要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患:
一是要尽快完善隐私政策,规范用户个人信息收集使用行为;
二是要加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;
三是要加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;
四是要在发生重大数据安全事件时,及时告知用户并向主管部门报告。
对于微博账户的密码是否也会被泄露?
新浪微博在3月21的回复中进一步表示,微博不存储用户明文密码,而是采取单向加密存储,用户密码并不会泄露。但是,当前安全形势严峻,依然有部分用户使用和其他平台相同账号密码,可能导致其微博账号面临被盗的风险。站方将不断强化安全策略,完善账号安全设置服务,以帮助用户提高账号安全等级,我们同时呼吁用户加强防范意识,保护好个人账号。
平台采取单向加密存储,是否就能保证用户密码万无一失?对此,上述互联网行业安全专家告诉澎湃新闻记者,即使是加密储存,对于攻击者而言,也有“彩虹表”可查。“这个表是历史上所有泄露的密码字典集合,比如,如果一个平台的服务器被盗取,攻击者并不能直接逆向得到你的密码,但可以在彩虹表里查到密文对应的明文,从而破解密码。所以,平台在做单向加密的存储同时,要注重密码的独特性,也叫‘加盐’。”
上述金融行业安全工程师则建议用户勤修改密码,除了微博,应该为自己名下的各类账户分类。“涉及邮箱(绑定多个账号)、网盘、学校(如学信网)、政府机构(如公积金)等账户密码应作为特重要密码,与普通账户密码保持差异。”