又发生了一起数据泄露事件,这一次涉及到了5亿微博用户。
一周前,微博网友@安全_云舒转发了一条微博并称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”
并且,他还留言强调发现不少人的手机号已被泄露,当中涉及不少微博认证的网红、明星、企业家。“来总(微博CEO)的手机号也被泄露了,我昨晚查过。”
暗网无人交易
该微博一出,立马引发网友关注,毕竟涉及网络安全问题,网友都炸开了锅,纷纷留言表示自己也疑似遭遇了数据泄露.
之后,更有网友表示,发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
随后媒体爆出,在暗网上,有人以“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的名义,对个人信息进行售卖。同时,Telegram也在售卖隐私数据,用户通过数字货币充值后,可以利用微博ID反查出手机号码。
暗网上,5.38亿微博用户绑定手机号数据的售价约合1900美元(约合人民币1.4万元),商品页面上是一些数据库的字段信息,比如,userid是用户的唯一标志号码,类型为text,phone代表手机号,此外,还有微博数、粉丝数、关注数、等级、性别、地理等基本信息字段,但这些并非关键信息。
不过,目前暗网中此交易记录为0。
不是因为买家都“良心发现”了,而是暗网卖家为了取得买家信任,董明珠、雷军、马化腾等人的手机号被明文列出,不用花钱就看得到……这可能是比“花钱可见”还要可怕的地方。
微博也是受害者
就此次事件,微博承认数据泄露属实。但关于起因,微博解释称,此次数据泄露应追溯到2018年底,当时,有用户通过微博相关接口批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
自2011年以来,微博一直提供查询通讯录好友微博昵称的服务,用户授权后可以使用该服务。但用户仅能查询到相关账号昵称,也可以随时取消授权。
此前黑客通过手机号比对服务获得多个平台的用户信息,例如通讯录好友微博昵称、QQ号、邮箱等,并抓取微博用户个人主页上的公开数据,并非微博泄露数据,而是灰产非法窃取手机号后,又非法调用了微博数据。
理论上,不法分子只要利用一个手机号,都可以通过查找功能,找到这个人的微信和QQ号,但不能说是微信和QQ泄露了他的手机号,在这件事上,微博也是受害者。
由此可见,像手机号以及微博ID、粉丝、地理信息等,虽然多数是半公开的,不是绝对敏感的隐私信息,但在地下黑灰产中,它可以成为窥探用户全貌的一块拼图。从身份信息到社交账户信息,尽数被曝光在别人眼前。
数据泄露的渠道越来越多,我们便越可能处在透明的“裸奔”状态。