微博數(shù)據(jù)疑泄露
3月19日上午,有微博名為“安全_云舒”的用戶轉(zhuǎn)發(fā)微博時稱:“很多人的手機號碼泄露了,根據(jù)微博(WB.US)賬號就能查到手機號……已經(jīng)有人通過微博泄露查到我的手機號碼,來加我微信了。”
隨后,該網(wǎng)友在微博下的留言中進一步表示,他通過技術(shù)查詢,發(fā)現(xiàn)不少人的手機號已被泄露,當中涉及不少微博認證的明星、官員、企業(yè)家。“來總的手機號也被泄露了,我昨晚查過。”(“來總”代指微博CEO 王高飛)
微博數(shù)據(jù)疑泄露在網(wǎng)友“安全_云舒”的微博主頁上,其個人介紹為“默安科技創(chuàng)始人兼 CTO”,原阿里集團安全研究實驗室總監(jiān)。默安科技官方證明以上信息屬實,“安全_云舒”確為默安科技CTO 魏興國,“云舒”是其在阿里巴巴的花名。
在魏興國的微博下,仍有網(wǎng)友不斷留言稱自己疑似遭遇了數(shù)據(jù)泄露,且泄露信息多為手機號,甚至有人發(fā)出了疑似微博個人數(shù)據(jù)的打包售賣截圖,標價為1799 元。
微博數(shù)據(jù)疑泄露隨后,有微博認證為“微博安全總監(jiān)”的網(wǎng)友羅詩堯在微博中回復稱:多謝關(guān)心,每隔段時間就有人在網(wǎng)上賣(數(shù)據(jù)),每次都會引起一波輿情,本不想回應(yīng),這條微博今后還會用得上。
就“數(shù)據(jù)泄露”一事向微博方面求證,對方表示內(nèi)部正在了解情況。
這次微博個人信息數(shù)據(jù)泄漏,最可能的原因是通訊錄好友匹配攻擊導致的。很多社交app都有通過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶賬號的關(guān)聯(lián)。比如先偽造通訊錄有xxxx00001到xxxx010000手機號匹配好友,再偽造xxxx010001到xxxx020000手機號匹配好友,不斷列舉,就能關(guān)聯(lián)出微博id到手機號的關(guān)系。
“建議大公司盡量關(guān)閉通訊錄匹配功能,如果開啟,必須對此接口進行各種數(shù)據(jù)泄漏監(jiān)測和流控/風控措施。”上述人士談到。
數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)行業(yè)典型故事之一。去年11月,Twitter(TWTR.US)就出現(xiàn)過利用通訊錄匹配功能獲得百萬推特用戶賬號和手機號的數(shù)據(jù)泄漏事件,隨后 Facebook(FB.US)關(guān)閉了這一功能。而國內(nèi)知名的一次數(shù)據(jù)泄露數(shù)據(jù)當屬 2011 年的“CSDN 百萬用戶信息外泄”。當年有黑客在網(wǎng)上公開了知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫,高達600多萬個明文的郵箱賬號和密碼遭到外泄。
以上就是【微博數(shù)據(jù)疑泄露】相關(guān)內(nèi)容。
標簽:
免責聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!