3月19日上午,有微博名為「安全_雲舒」的用戶轉發微博時稱:「很多人的手機號碼泄露了,根據微博賬號就能查到手機號……已經有人通過微博泄露查到我的手機號碼,來加我微信了。」
隨後,該網友在微博下的留言中進一步表示,他通過技術查詢,發現不少人的手機號已被泄露,當中涉及不少微博認證的明星、官員、企業家。「來總的手機號也被泄露了,我昨晚查過。」(「來總」代指微博CEO 王高飛)
在網友「安全_雲舒」的微博主頁上,其個人介紹為「默安科技創始人兼 CTO」,原阿里集團安全研究實驗室總監。36 氪向默安科技官方求證,證明以上信息屬實,「安全_雲舒」確為默安科技CTO 魏興國,「雲舒」是其在阿里巴巴的花名。
在魏興國的微博下,仍有網友不斷留言稱自己疑似遭遇了數據泄露,且泄露信息多為手機號,甚至有人發出了疑似微博個人數據的打包售賣截圖,標價為1799 元。
隨後,有微博認證為「微博安全總監」的網友羅詩堯在微博中回復稱:多謝關心,每隔段時間就有人在網上賣(數據),每次都會引起一波輿情,本不想回應,這條微博今後還會用得上。
36氪就「數據泄露」一事向微博方面求證,對方表示內部正在了解情況。
對於數據泄露的原因,根據魏興國在微博上的表述,這次事件或是由於微博在 2019 年被人通過介面「薅走了一些數據」,而不是所謂的「數據拖庫」。
所謂數據拖庫,是指網站遭到入侵後,黑客竊取資料庫並將所有數據信息拿走,屬於安全領域非常嚴重的事故。
「像微博這樣體量的公司,被黑客大規模入侵的概率不大,它們遭遇的應該不是拖庫。」一位安全領域的資深人士告訴 36 氪。
上述人士分析稱,出現這樣的數據泄露現象有兩種可能,一種是「撞庫」,一種是某些業務出現了「漏水」。
其中,「漏水」是指企業某些非核心業務團隊規模小,沒有按照統一規範流程搭建業務,因此出現風險,比如沒有做好關鍵數據隔離、沒有做好許可權分層管控、沒有做好數據加密存儲等。
而「撞庫」則是黑市倒賣數據的一種慣用手段。很多人喜歡將不同網站的密碼設置為同一個,一旦你在某個網路安全能力較弱的網站密碼被黑客獲取,黑客就可以用該密碼循環測試其他網站,這種手段就叫「撞庫」。
「個人信息數據泄漏大多是在應用層/業務這一頭泄漏的,一個是內部的大量需要業務上接觸數據的業務類員工,一個是對外公開的介面或對合作夥伴的介面。」另一位國內網路安全專家進一步向 36 氪表示,他從另一種角度闡明了這次事故產生的可能性:
這次微博個人信息數據泄漏,最可能的原因是通訊錄好友匹配攻擊導致的。很多社交app都有通過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶賬號的關聯。比如先偽造通訊錄有xxxx00001到xxxx010000手機號匹配好友,再偽造xxxx010001到xxxx020000手機號匹配好友,不斷列舉,就能關聯出微博id到手機號的關係。
「建議大公司盡量關閉通訊錄匹配功能,如果開啟,必須對此介面進行各種數據泄漏監測和流控/風控措施。」上述人士對 36 氪談到。
數據泄露已成為互聯網行業典型故事之一。去年11月,Twitter就出現過利用通訊錄匹配功能獲得百萬推特用戶賬號和手機號的數據泄漏事件,隨後 Facebook關閉了這一功能。而國內知名的一次數據泄露數據當屬 2011 年的「CSDN 百萬用戶信息外泄」。當年有黑客在網上公開了知名程序員網站CSDN的用戶資料庫,高達600多萬個明文的郵箱賬號和密碼遭到外泄。
封面圖源:pexels
