最近,“5.38亿微博用户绑定手机号数据在暗网被兜售”的消息沸沸扬扬,很多人质疑其真实性的同时安全圈专业人士和微博安全总监纷纷回应,交易的数据属实。 据悉,在这被泄露的5.38亿用户绑定手机号数据中,有1.72亿账号是有的基本信息的。账号基本信息包括昵称、头像、粉丝和所在地等,绑定手机收据包括用户ID和手机号。这些数据在暗网售价1388美元。 此事件中,有两大具有争议的点:微博不当的保护和暗网交易。 微博保护不当? 对于数据泄露一事,微博安全总监回应称,是2019年通讯录上传接口被暴力匹配导致的,微博内部此前发现这一情况后已经在第一时间报警,移交警方处理。 事实上,在暗网上的卖家在这则数据商品的描述中已然表明了抓取时间:2019年中。此外,卖家还给出了400条绑定手机号的测试数据和1500条账号基本信息的测试数据。 除了微博安全总监的回应,微博CEO王高飞还称此事与2014年以前网易撞库事件有关。 不过,随即就有用户用自己查到了2018年10月底注册的微博账号来反驳,指出此次泄露或许并非是由于接口遭暴力匹配导致的,也有可能是因为这些数据直接从数据中导出了(脱库)。 后来,发出相关言论的博主都已或删除或限流。 脱库的严重程度可比接口遭暴力匹配大多了,微博安全总监随即便否认了此事,声称在暗网交易中一些关键字段并没有被放出来。 实际上,通讯录匹配本就是很多社交软件都有的功能,如若所有的软件都像微博一样轻易就能被暴力匹配,那必然是要大乱。刷赞软件 通过暴力匹配来获取用户数据其实可以被视为变相的爬虫。而企业也有防范和监控这些数据的泄露风险的义务,和监控数据爬虫是一个道理。 显然,微博很可能并没有对这个接口做监控和风控,所以由于微博的疏忽用户个人信息才面临着泄露的风险。 一时间,很多用户都在质疑微博保护用户信息不力。微博安全总监无奈表示微博内部发现异常后立即堵住了口子并且第一时间报了警,此后积极配合了警方的调查。 暗网 很遗憾,暗网一直以来的监管难度都非常大,虽然警方一直在寻求打击的时机,但并至今并没有成功。所以打击暗网的黑灰产业一事还得静待时机,目前问责主体还是微博。 |
|
来自: 昵称66394741 > 《待分类》