6

因数据撞库或漏水,微博 5.38 亿隐私数据泄露

3 月 19 日,默安科技创始人兼 CTO,原阿里集团安全研究实验室总监 @安全_云舒 转发微博(该微博目前已删除)称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”

随后,他表示通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总(微博CEO 王高飞)的手机号也被泄露了,我昨晚查过。”

微信截图_20200320111123.png

很快,微博官方做出回应——这应该是此前出现了数据“撞库”或“漏水”现象,泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。

很多社交 app 都有通过通讯录匹配好友的功能。攻击者可以伪造本地通讯录来获得手机号到微博用户账号的关联。比如先伪造通讯录有 xxxx00001 到 xxxx010000 手机号匹配好友,再伪造 xxxx010001 到 xxxx020000 手机号匹配好友,不断列举,就能关联出微博 id 到手机号的关系。

根据上述表述,这次事件或是由于微博在 2019 年被人通过接口“薅走了一些数据”,而不是所谓的“数据脱库”。

数据脱库,是指网站遭到入侵后,黑客窃取数据库并将所有数据信息拿走,属于安全领域非常严重的事故。

“漏水”是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。

“撞库”则是黑市倒卖数据的一种惯用手段。黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网站,这就可以理解为撞库攻击。

国际暗网交易普通查询约 10 元一次

如今 5.38 亿条微博用户信息在暗网出售,其中,1.72 亿条有账户基本信息,售价 0.177 比特币。涉及到的账号信息包括用户 ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。有用户在 Telegram 上通过交易,已经买到了自己微博绑定的主要信息,包括账号身份证号、密码、手机号等等。

clipboard.png

clipboard.png

交易大概流程为加入 Telegram,找到售卖机器人,机器人分享报价和交易方式,选择交易,机器人给出比特币 / ETH 数字货币地址,“打款”后机器人为电报账号充值积分,利用积分查询。可查询到的信息包括真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机、QQ关联账号、QQ密码等,普通查询约等于人民币 10 元一次

数据泄露已成为互联网行业典型故事之一。去年 11 月,Twitter(TWTR.US) 就出现过利用通讯录匹配功能获得百万推特用户账号和手机号的数据泄漏事件,随后 Facebook(FB.US) 关闭了这一功能。而此前国内最知名的一次数据泄露事件当属 2011 年 CSDN 百万用户信息外泄。CSDN 明文保存用户邮箱账号和密码,导致高达 600 多万个明文的邮箱账号和密码遭到外泄,被黑客在网上公开。

SF小姐姐温馨提示:切勿在多个网站设置相同密码,希望各大社交媒体平台也可以规范管理,做好关键数据隔离、权限分层管控和数据加密存储。

clipboard.png


思否编辑部
4.3k 声望117k 粉丝

思否编辑部官方账号,欢迎私信投稿、提供线索、沟通反馈。