19日,南都曾发文《微博5亿用户绑定手机号在暗网出售 或因通讯录接口遭暴力匹配》,微博对此作出了回应。据《AI财经社》微博回应数据走漏:为2018年末大规模走漏,数据不触及身份证暗码,微博称此次数据走漏发生于2018年末,但不触及身份证和暗码,不影响服务。
不过,有安全圈人士实测发现,在跨途径即时通讯软件Telegram上,可以终究靠微博Oid(目标标识符)查到账号暗码、邮箱,从而取得实在名字、身份证号等个人隐私信息。因为Oid揭露可得,理论上任何人都可以直接进行查询。
整个事情源于暗网的一则买卖信息。
3月4日,有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其间1.72亿有账号基本信息”的买卖信息,价格1388美元。其间绑定手机数据包含用户ID和手机号,账号基本信息包含昵称、头像、粉丝数、所在地等。
经多人验证,给出的测试数据部分实在,2018年10月底和2019年7月份注册的账号也都可查,并非如微博CEO王高飞(@往来不断之间)所说“是2014年曾经网易那次撞库的”。
微博安全总监罗诗尧则解说称,此次走漏的手机号是“2019年经过通讯录上传接口被暴力匹配的,其他揭露信息都是网上抓来的”,并表明微博内部发现异常后“立刻堵住了口儿”,第一时间报了警(相关微博已被删去)。
尔后,微博对《AI财经社》表明,此次数据走漏应该追溯到2018年末。其时,有用户经过微博相关接口经过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上经过其他途径获取的信息一同对外出售。
微博还着重,微博一向有供给依据通讯录手机号查询微博老友昵称的服务,但不供给用户性别和身份证号等信息,也没有“依照每个用户昵称查手机号”的服务。因而这起数据走漏不触及身份证、暗码,对微博服务没有影响。未来微博将不断强化安全维护战略。
但是,有安全圈人士发文称,在Telegram找到了售卖微博数据的一个主动买卖机器人,并成功买到了搭档的名字、手机号、QQ号、微博账号暗码、邮箱等,再利用途径供给的其他服务,方位信息、户籍、地址、身份证号也都可查。
“看来不止手机号和账号走漏,但和暗网出售的数据是不是同一批就不清楚了”,一位资深安全人士告知南都记者,Telegram是许多地下买卖的场所,除了微博数据,或许还有其他途径的数据,充值后即可向机器人查询 。
采写:南都记者蒋琳
归纳AI财经社
