19日,南都曾發文《微博5億用戶綁定手機号在暗網出售 或因通訊錄接口遭暴力匹配》,微博對此作出了回應。據《AI财經社》報道,微博稱此次數據洩露發生于2018年底,但不涉及身份證和密碼,不影響服務。
不過,有安全圈人士實測發現,在跨平台即時通訊軟件Telegram上,可以通過微博Oid(對象标識符)查到賬号密碼、郵箱,進而獲得真實姓名、身份證号等個人信息。由于Oid公開可得,理論上任何人都可以進行查詢。
整個事件源于暗網的一則交易信息。
3月4日,有暗網用戶發布了一則名為“5.38億微博用戶綁定手機号數據,其中1.72億有賬号基本信息”的交易信息,售價1388美元。其中綁定手機數據包括用戶ID和手機号,賬号基本信息包括昵稱、頭像、粉絲數、所在地等。
經多人驗證,給出的測試數據部分真實,2018年10月底和2019年7月份注冊的賬号也都可查,并非如微博CEO王高飛(@來去之間)所說“是2014年以前網易那次撞庫的”。
微博安全總監羅詩堯則解釋稱,此次洩露的手機号是“2019年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的”,并表示微博内部發現異常後“馬上堵住了口子”,第一時間報了警(相關微博已被删除)。
此後,微博對《AI财經社》表示,此次數據洩露應該追溯到2018年底。當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬号昵稱,再加上通過其他渠道獲取的信息一起對外出售。
微博還強調,微博一直有提供根據通訊錄手機号查詢微博好友昵稱的服務,但不提供用戶性别和身份證号等信息,也沒有“根據用戶昵稱查手機号”的服務。因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。未來微博将不斷強化安全保護策略。
然而,有安全圈人士發文稱,在Telegram找到了售賣微博數據的一個自動交易機器人,并成功買到了同事的姓名、手機号、QQ号、微博賬号密碼、郵箱等,再利用平台提供的其他服務,位置信息、戶籍、地址、身份證号也都可查。
“看來不止手機号和賬号洩露,但和暗網出售的數據是不是同一批就不清楚了”,一位資深安全人士告訴南都記者,Telegram是很多地下交易的場所,除了微博數據,可能還有其他平台的數據,充值後即可向機器人查詢 。
采寫:南都記者蔣琳
綜合AI财經社
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
