| 首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

微博数据疑似大规模泄露,用户手机号等信息外流

2020-03-19 16:16 作者:苏建勋 来源:硅谷网综合 HV: 编辑:GuiGu 【搜索试试

3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”

随后,该网友在微博下的留言中进一步表示,他通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了,我昨晚查过。”(“来总”代指微博CEO 王高飞)

在网友“安全_云舒”的微博主页上,其个人介绍为“默安科技创始人兼 CTO”,原阿里集团安全研究实验室总监。36 氪向默安科技官方求证,证明以上信息属实,“安全_云舒”确为默安科技CTO 魏兴国,“云舒”是其在阿里巴巴的花名。

最前线 | 微博数据疑似大规模泄露,用户手机号等信息外流

在魏兴国的微博下,仍有网友不断留言称自己疑似遭遇了数据泄露,且泄露信息多为手机号,甚至有人发出了疑似微博个人数据的打包售卖截图,标价为1799 元。

最前线 | 微博数据疑似大规模泄露,用户手机号等信息外流

随后,有微博认证为“微博安全总监”的网友罗诗尧在微博中回复称:多谢关心,每隔段时间就有人在网上卖(数据),每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。

36氪就“数据泄露”一事向微博方面求证,对方表示内部正在了解情况。

对于数据泄露的原因,根据魏兴国在微博上的表述,这次事件或是由于微博在 2019 年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。

所谓数据拖库,是指网站遭到入侵后,黑客窃取数据库并将所有数据信息拿走,属于安全领域非常严重的事故。

“像微博这样体量的公司,被黑客大规模入侵的概率不大,它们遭遇的应该不是拖库。”一位安全领域的资深人士告诉 36 氪。

上述人士分析称,出现这样的数据泄露现象有两种可能,一种是“撞库”,一种是某些业务出现了“漏水”。

其中,“漏水”是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。

而“撞库”则是黑市倒卖数据的一种惯用手段。很多人喜欢将不同网站的密码设置为同一个,一旦你在某个网络安全能力较弱的网站密码被黑客获取,黑客就可以用该密码循环测试其他网站,这种手段就叫“撞库”。

“个人信息数据泄漏大多是在应用层/业务这一头泄漏的,一个是内部的大量需要业务上接触数据的业务类员工,一个是对外公开的接口或对合作伙伴的接口。”另一位国内网络安全专家进一步向 36 氪表示,他从另一种角度阐明了这次事故产生的可能性:

这次微博个人信息数据泄漏,最可能的原因是通讯录好友匹配攻击导致的。很多社交app都有通过通讯录匹配好友的功能。攻击者可以伪造本地通讯录来获得手机号到微博用户账号的关联。比如先伪造通讯录有xxxx00001到xxxx010000手机号匹配好友,再伪造xxxx010001到xxxx020000手机号匹配好友,不断列举,就能关联出微博id到手机号的关系。

“建议大公司尽量关闭通讯录匹配功能,如果开启,必须对此接口进行各种数据泄漏监测和流控/风控措施。”上述人士对 36 氪谈到。

数据泄露已成为互联网行业典型故事之一。去年11月,Twitter就出现过利用通讯录匹配功能获得百万推特用户账号和手机号的数据泄漏事件,随后 Facebook关闭了这一功能。而国内知名的一次数据泄露数据当属 2011 年的“CSDN 百万用户信息外泄”。当年有黑客在网上公开了知名程序员网站CSDN的用户数据库,高达600多万个明文的邮箱账号和密码遭到外泄。

【对“微博数据疑似大规模泄露,用户手机号等信息外流”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·安全大牛TK教主微博专业发声 力挺GeekPwn
·春节临近:手机安全成微博热议话题
·校园安全员被要求监督学生微博
头条
微博数据疑似大规模泄露,用户手机号等信息外流 微博数据疑似大规模泄露,用户手机号等信息外
3月19日上午,有微博名为安全_云舒的用户转发微博时称:很多人的手机号码泄露了,根据……
·微博数据疑似大规模泄露,用户手机号等信息外
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
图文
智能化和场景化,双重驱动下的华为智能安防
智能化和场景化,双重驱动下的华为智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·疯狂“剁手”双11,支付安全问题还让你心慌慌
·宏病毒瞄准医院下手 腾讯电脑管家强力拦杀
·【评论】门户系统引领云安全服务跨入新时代
·华途“DLP技术”全方位保障政府网信息安全
·专家视点:互联网+战略催生安防安全新格局
广告
硅谷精选
智能化和场景化,双重驱动下的华为智能安防
智能化和场景化,双重驱动下的华为智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时代
微博数据疑似大规模泄露,用户手机号等信息外流
微博数据疑似大规模泄露,用户手机号等信息外流
Sensor Tower推出20余款App秘密收集数百万用户数据
Sensor Tower推出20余款App秘密收集数百万用户数据
DDoS攻击离你有多近?华为未然来揭秘!
DDoS攻击离你有多近?华为未然来揭秘!
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>