Categories
程式開發

5.38億微博用戶信息洩露,暗網只售不到1萬元


5.38億微博用戶信息洩露,暗網只售不到1萬元 1

近日,有用戶發現 5.38 億條微博用戶信息在暗網出售,其中 1.72 億有賬號基本信息。全部數據售價 0.177 比特幣,折合成人民幣約為 7350 元。據悉,涉及到的賬號信息包括用戶 ID、微博數、粉絲數、關注數、性別、地理位置等。

5.38億微博用戶信息洩露,暗網只售不到1萬元 2

3 月19 日,微博名為“安全_ 雲舒”的用戶轉發微博時稱:“很多人的手機號碼洩露了,根據微博賬號就能查到手機號… 已經有人通過微博洩露查到我的手機號碼,來加我微信了。”

5.38億微博用戶信息洩露,暗網只售不到1萬元 3

在其微博留言中,多名微博網友確認手機號洩露。有一名網友留言,“剛剛查了下我的,確實洩露了,電話號碼、身份證、物理地址都正確。”

5.38億微博用戶信息洩露,暗網只售不到1萬元 4

除了網友手機號,“包括明星、企業家、公務員等人在內”的手機號都被洩露。

據悉,“安全 _ 雲舒”微博的個人主頁顯示,他是默安科技創始人兼 CTO,原阿里集團安全研究實驗室總監。根據 36 氪的求證,這名網友為默安科技 CTO 魏興國。

截至筆者撰文時,“安全 _ 雲舒”發布的 2 條相關微博已經刪除。

微博回應

針對本次數據洩露事件,微博認證“微博安全總監”的網友羅詩堯在微博中回復稱:多謝關心,每隔段時間就有人在網上賣(數據),每次都會引起一波輿情,本不想回應,這條微博今後還會用得上。

至於本次數據洩露的原因,安全 _ 雲舒稱,這次數據洩露或是由於微博在 2019 年被人通過接口“薅走了一些數據”,而不是所謂的“數據拖庫​​”。

而羅詩堯回應,“洩漏的手機號是 19 年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的。”

5.38億微博用戶信息洩露,暗網只售不到1萬元 5

他還表示,“19 年被刷的部分數據,內部突發現異常後馬上堵住了口子。我們第一時間報了警,取證後把相關信息遞到了警方,同時一直也在追查網上售賣信息的黑灰產。用戶的隱私至關重要,尤其還是涉及到手機號。”

微博方面表示,微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務,但微博不提供用戶性別和身份證號等信息,也沒有“根據用戶暱稱查手機號”的服務。 2018 年底,有用戶利用微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。此次非法調用微博接口匹配出的信息為微博賬號暱稱,不涉及身份證、密碼,對微博服務沒有影響。 “發現異常後,我們及時加強了安全策略,今後還將不斷強化。”

對於本次數據洩露事件,一名業內安全專家向筆者表示,“對於微博的數據洩露,第一不能輕視,第二也不用太誇大,因為這是我們每年許多數據洩露事件中的一起。現在,隨著所有互聯網公司都在做數字化轉型,其實每一個企業都掌握了大量客戶信息。這些信息如果保護不到位的話,都會出現數據洩露。”

“無論是物理世界,還是數字世界,它都不是 100% 的安全,一定會有各種各樣的風險。數據洩露,其實是數字化世界中非常普遍、需要重視的安全風險之一。”

原因分析

在今天的互聯網上,數據洩露層出不窮。在 《2019 年數據洩露全年盤點》 中,筆者從公開渠道統計出數據洩露事件一共有 43 件,涉及各行各業。

左耳朵耗子在 極客時間 的《從 Equifax 信息洩露看數據安全》中指出了數據洩露發生的原因:

  1. 利用程序框架或庫的已知漏洞。比如,美國征信機構 Equifax 發生的 1.45 億用戶數據洩露,就是利用 Apache Struts 的已知漏洞;
  2. 暴力破解密碼。攻擊者利用密碼字典庫或是已經洩露的密碼來“撞庫”;
  3. 代碼注入。通過程序員代碼的安全性問題,如 SQL 注入、XSS 攻擊、CSRF 攻擊等取得用戶的權限 ;
  4. 利用程序日誌不小心洩露的信息 ;
  5. 社會工程學

此外,他還闡述了因數據管理問題而發生的數據洩露,比如只有一層安全、弱密碼、向公網​​暴露了內部系統、安全日誌被暴露、保存了不必要保存的數據和密碼沒有被合理地散列等。

具體到本次微博的數據洩露,這名資深安全人士指出,根據目前披露的一些信息,在很多社交平台,它都有根據用戶通訊錄去查找好友的功能。以微博為例,用戶註冊登錄後,它會詢問你是否要匹配通訊錄中的好友。 “除了微博,拼多多、京東、抖音都有類似的功能”。

這名資深安全人士說,“微博的數據洩露,很大概率可能是黑灰產的攻擊者利用接口的業務功能考慮不周全或有缺陷的情況,在本地通過腳本或自動化工具去大量生成。 ”

黑產或灰產會利用手中工具在本地生成大量連續的手機號,利用微博的接口,去匹配微博上面的賬號。通過這種方式,它可以生成你的微博和手機信息的綁定,利用這種綁定去準確定位你的微博。 “有了手機號後,可以去匹配一些其他的信息,找到你的QQ 號、身份證號碼等。匹配到一些信息後,它還可能拿到你的賬戶密碼,然後撞庫找到其他信息。”他說。

簡言之,利用微博,定位到個人、手機號、微博 ID 和 QQ 號。拿到手機號和 QQ 後,再去獲取身份證信息、密碼信息等。

2 個小建議,讓你的數據更安全

對網友而言,我們雖然是個人信息數據的擁有者,但不是數據的控制者。 “當我們把信息委託給某一個平台,那我們其實將主動權交給了對方。”

作為一個普通人,我們可以採取一些舉措去有效地保護個人數據:

  1. 在不同平台設置不同密碼,並在某個固定時間去修改所有密碼。這樣雖然麻煩點,但是好處是,一旦數據洩露,影響面比較小。並且,頻繁修改密碼後,即使發生洩露,信息有效性的時間會比較短;
  2. 重要信息分類使用。當獲取服務時,手機要綁定個人信息,要多加註意被綁定的信息。

專家支 3 招,企業防洩露

無疑,微博的數據洩露給廣大企業敲響了警鐘。當數據成為這個時代的“石油”,它就成為許多人爭奪的對象。

對企業或組織機構而言,它們對數據洩露應採取積極主動的態度,避免數據洩露事件發生。

有安全專家給出了 3 條建議:

1、完善數據安全防護手段

當前,企業對數據安全主要採取防範計算機病毒、網絡攻擊、網絡侵入的網絡邊界防護和終端管控手段,缺少對內容的深度識別或感知技術,並且缺少對敏感數據的全方位治理和安全管理手段。

敏感數據是什麼、存放在什麼位置、流轉經過哪些節點、數據洩露後如何溯源追責,企業都應該採取相應的數據安全產品和技術手段來解決這些問題。

2、建立可落地的行業性數據安全規範和企業數據安全管理制度

最近幾年,數據安全已經被逐步納入國家法規和行業規範中,包括《網絡安全法》、《網絡安全等級保護基本要求 2.0》、《個人信息安全規範》、歐盟《GDPR》等。數據安全已經成為新一代信息安全標準的基本內容。

雖然這些已頒布的法律法規對數據安全和個人信息保護進行了明確立法規定,對各類組織承擔的數據安全保障義務與責任進行明確要求,並保障個人對其個人信息的安全可控。

這位專家表示,“如果上述法規要指導企業落實具體的數據安全保護手段,仍然需要結合具體行業特點,對數據安全防護的技術手段進行明確要求,增強可落實性和可執行性。”

3、提高安全意識,增加對內部數據洩露風險的防護

目前,企業對數據安全的投入,主要是針對外部攻擊的防護,如防火牆、IDS、防病毒軟件等,而這些技術手段很難對內部人員有意或無意的洩露行為進行識別和防護。

調查結果表明,絕大部分的洩露風險來自企業內部,其中郵件外發和互聯網上傳是兩個最方便的數據外傳手段,也是洩露事件發生概率最高的兩個渠道。

因此,企業應加強對內部員工或運維人員的安全意識管理,增加對數據防洩漏產品的投入,實行對內部人員洩露行為的檢測和管控,降低內部人員有意無意的拷貝、外發和上傳等操作帶來的數據洩露風險。