微博泄露5亿用户数据?实测:12元买201条用户信息(图)
微博近日被爆出发生用户数据泄露事件。新京报记者3月20日调查发现,在一些外网交易平台上确实出现了相关的数据买卖,只要缴费即可通过微博账号查询到用户的手机号码及其他更详细个人私密信息。
此次疑似信息泄露事件引起公众关注,始于3月19日默安科技CTO魏兴国发布的一条微博(目前已删除),魏兴国称,通过技术查询发现不少人手机号已经泄露。
对于这次用户数据泄露,微博方面公开回应称,此次数据泄露应该追溯到2018年底。当时,有用户利用微博相关接口通过手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
微博表示,其一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有根据用户昵称查手机号的服务。这起数据泄露不涉及身份证、密码,对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及其余隐私数据。“目前微博已经及时强化安全策略,并将不断强化。”
新京报记者发现,在暗网与Telegram平台确实有关于微博用户数据的交易帖。其中,有暗网用户于3月4日发布了一条名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元。该用户称,这些信息“均为2019年年中左右抓取”,并给出400条绑定手机号的测试数据,以及1500条账号基本信息的测试数据。
相对于暗网的数据打包“一口价”,Telegram上则有灰产人士提供微博、QQ、贴吧等社交账户关联手机号码及其他信息的定向查询服务,用户只要输入想要查询的微博账号信息,即可关联出用户的手机号码,只要肯付费还能查看更多个人信息。
3月20日,新京报记者在Telegram上向灰产人士购买了价值约12元人民币的积分,获得了201条微博用户信息,其中不少信息包括用户身份证号、手机号、密码、生日等私密信息。对于灰产人士提供的微博定向查询手机号服务,记者测试查询了3个已绑定手机的微博账号,结果有2个微博账号被查询正确的关联手机号码,其中1个还给出了微博绑定的QQ等更详细的信息,而另一个微博账号的查询结果显示“无信息”。
灰产人士提供的微博用户信息。
需要注意的是,显示“无信息”的微博账号在隐私设置中设置了“不允许通过此手机号搜到我”,这或许是该微博用户手机号码没有泄露的原因。
有安全专家告诉新京报记者,这也许说明微博这次信息泄露确与其通讯录接口有关,“该功能让APP可以读取用户通讯录,这样用户的手机号码数据就会被上传,企业应做好这方面的数据保护。”