大東：小白，玩社交軟件嗎？

小白：玩呀～

大東：啥時候開始玩的？

小白：這怕是要追溯到高中時期...

大東：打住打住，咱今天不讨論這個，我是來提醒你使用社交軟件要注意隐私安全的。

小白：嗯？啥情況？難道又發生了什麼？

大東：就在前幾日，3月19日，某社交網站用戶稱：“很多人的手機号碼洩露了，根據該社交網站賬号就能查到手機号……已經有人通過洩露的手機号碼，來加我微信了。”

小白：真的假的！

大東：在這條狀态下，有不少網友留言表示自己也疑似遭遇了數據洩露。涉及到的賬号信息包括用戶ID、賬号發布的文章數、粉絲數、關注數、性别、地理位置等。

小白：天惹噜～快給我講講！

二、大話始末

小白：這件事情到底啥情況呀？

大東：有分析人員根據相關線索進行了嘗試，證明确實可以通過灰産買到該社交網絡的用戶信息。

小白：又是灰産！這又是怎麼操作的？

大東：研究人員在小道消息的引導下，找到了購買隐私數據其中一個根據地——電報（Telegram）。這個系統是“積分機制”，你可以通過數字貨币為該灰産充值，在電報賬号的賬戶轉換成積分，使用積分可以找機器人換取各種服務。

小白：這積分貴麼？

大東：經分析人員測試，換算成人民币約等于10元查詢一次。

小白：那...還真實不貴...怎麼查的呀？

大東：如果你選擇批量查詢，那麼機器人将會返回出名單，每次100個左右。内容包括：賬号、郵箱、密碼等信息。如果你選擇根據社交網絡賬号查詢，需要向給機器人輸入其主頁的ID，機器人返回的結果包括：綁定QQ、綁定手機、微博主頁地址。

小白：這麼詳細！那豈不是隻要有人看見我的社交平台，就能查到我的電話QQ号、電話号碼了！

大東：是的，除了這兩種查詢方式，還能根據真實姓名查身份證，通過身份證查真實姓名等操作。

小白：真可怕啊...

三、原理分析

小白：這是什麼原理？該社交網絡系統被入侵了？

大東：對這件事情，該社交網絡平台方面回應，微博一直提供根據通訊錄手機号查詢微博好友昵稱的服務，用戶授權後可以使用該服務。微博安全總監稱：“洩漏的手機号是19年通過通訊錄上傳接口被暴力匹配的，其餘公開信息都是網上抓來的。”可以從官方的回應看出，是有惡意用戶抓住了微博查找好友功能的漏洞，收集了大量用戶個人信息和微博信息間的對應關系，通過灰産謀取不義之财。

小白：啥意思？大東東我沒聽懂。

大東：行，那我給你詳細講講。小白，你還記得你第一個微博好友是誰麼？

小白：我記得！就是我的高中同桌小黑呀～

大東：比課本知識點記得清楚多了呢。那你記得你是怎麼找到他的麼？

小白：嗯...好像是我用手機号注冊了之後，開了手機通訊錄權限，然後app就自動向我推薦的～

大東：嗯，你想到什麼問題了麼？

小白：诶～那如果微博用戶的手機通訊錄裡有我的手機号，那豈不是也能找到我的微博賬号了！

大東：因此可以推斷出這個灰産是如何誕生的——手機号的源頭是有黑客找到一大堆手機号，然後利用微博上傳通訊錄功能，匹配出來微博ID，對互相一一對應關系進行整理，然後就可以以此牟利了。

小白：太狡猾了！我以後還怎麼在微博上分享生活啊！

大東：你的擔憂是對的，人們在微博上分享生活，于是每個微博的賬号是有人設的，通過手機号找到微博，也就是能通過手機号将人物刻畫出來了。

小白：嗚嗚嗚，我再也不用微博了！

大東：不僅僅是微博，其他的app也有類似問題的。隻要有你朋友上傳了通信錄，都存在這個安全隐患。

小白：我的朋友可不能坑我呀。

大東：app的社交屬性引發了這個問題，每個app現在要求實名，隻能希望用戶都有一定的安全意識。

微博隐私灰産原理

小白：大東東～就沒人管管咱小用戶麼！就這麼任人欺負麼！

大東：微博表示，此次非法調用微博接口匹配出的信息為微博賬号昵稱，不涉及身份證、密碼，對微博服務沒有影響，“發現異常後，及時加強了安全策略，今後還将不斷強化。”

小白：好吧，希望以後不會從系統上找到這個漏洞了。

大東：其實，目前曝光内容已删除，也是出于對其他用戶效仿的擔心。

小白：那咱普通用戶，有啥辦法可以自我拯救的麼？

大東：當然，普通用戶最重要的就是提高網絡安全意識，注意互聯網上的隐私保護。

小白：具體如何防護呢？

大東：首先是要搞清楚隐私洩漏的幾種主要方式：一是使用洩漏，如操作失誤、打印、外發文件、拍攝屏幕等方式洩漏數據。二是存儲洩漏，包括數據中心、服務器和數據庫的數據被入侵造成洩漏，移動終端被盜、丢失或維修造成數據洩漏。三是傳輸洩漏，通過網絡監聽、攔截等方式對傳輸數據進行篡改、僞造和竊取。

小白：那咱有啥對應的措施麼？

大東：當然了，小白你記好了，可以通過以下方法進行自我安全防護。

1. 謹慎允許App擁有系統權限，一些App總是會申請擁有過多和應用提供的服務不相關的權限，除了通訊錄權限外，還有攝像頭權限和GPS權限。

2. 檢查登錄的網站是否安全，看網頁是否擁有https或關閉鎖定。

3. 在浏覽時，不要輕易将身份證号碼、個人喜好、所處位置等敏感信息洩露。

4. 不同平台的密碼盡量不同，防止撞庫帶來的信息洩露，密碼設置可以通過組合字母，數字和符号來創建安全性較高的密碼。

小白：懂了！一定注意！

隐私安全（圖片來自網絡）

來源：中國科學院計算技術研究所

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!