暗網的數據出售和微博網友的爆料，讓微博的數據洩露再次成為關注點。

據媒體3月24日報道，近期工信部就微博APP數據洩露問題開展問詢約談。

工信部網路安全管理局要求微博按照《網路安全法》《電信和互聯網用戶個人資訊保護規定》等法律法規要求，對照工信部等四部門制定的《App違法違規收集使用個人資訊行為認定方法》進一步採取有效措施。

具體如下：

一是要儘快完善隱私政策，規範用戶個人資訊收集使用行為；

二是要加強用戶資訊分類分級保護，強化用戶查詢介面風險控制等安全保護策略；

三是要加強企業內部數據安全管理，定期及新業務上線前要開展數據安全合規性自評估，及時防範數據安全風險；

四是要在發生重大數據安全事件時，及時告知用戶並向主管部門報告。

微博方面表示，公司高度重視數據安全和個人資訊保護，針對此次事件已採取了升級介面安全策略等措施，後續將按照工信部要求，落實企業數據安全主體責任，切實做好用戶個人資訊保護工作。

近日，有用戶發現5.38 億條微博用戶資訊在暗網出售，其中1.72 億有帳號基本資訊。全部數據售價0.177 比特幣，折合成人民幣約為7350 元。據悉，涉及到的帳號資訊包括用戶ID、微博數、粉絲數、關注數、性別、地理位置等。

3月19日，微博名為“安全_ 雲舒”的用戶轉發微博時稱：“很多人的手機號碼洩露了，根據微博帳號就能查到手機號...... 已經有人通過微博洩露查到我的手機號碼，來加我微信了。”

在其微博留言中，多名微博網友確認手機號洩露。有一名網友留言，“剛剛查了下我的，確實洩露了，電話號碼、身份證、物理地址都正確。”

除了網友手機號，“包括明星、企業家、公務員等人在內”的手機號都被洩露。

據悉，“安全_ 雲舒”微博的個人主頁顯示，他是默安科技創始人兼CTO，原阿裏集團安全研究實驗室總監。根據36 氪的求證，這名網友為默安科技CTO 魏興國。

截至筆者撰文時，“安全_ 雲舒”發佈的2 條相關微博已經刪除。

一、微博回應

針對本次數據洩露事件，微博認證“微博安全總監”的網友羅詩堯在微博中回復稱：多謝關心，每隔段時間就有人在網上賣（數據），每次都會引起一波輿情，本不想回應，這條微博今後還會用得上。

至於本次數據洩露的原因，安全_ 雲舒稱，這次數據洩露或是由於微博在 2019 年被人通過介面“薅走了一些數據”，而不是所謂的“數據拖庫”。

而羅詩堯回應，“洩漏的手機號是19 年通過通訊錄上傳介面被暴力匹配的，其餘公開信息都是網上抓來的。”

他還表示，“19 年被刷的部分數據，內部突發現異常後馬上堵住了口子。我們第一時間報了警，取證後把相關資訊遞到了警方，同時一直也在追查網上售賣資訊的黑灰產。用戶的隱私至關重要，尤其還是涉及到手機號。”

微博方面表示，微博一直提供根據通訊錄手機號查詢微博好友昵稱的服務，用戶授權後可以使用該服務，但微博不提供用戶性別和身份證號等資訊，也沒有“根據用戶昵稱查手機號”的服務。2018 年底，有用戶利用微博相關介面通過批量手機批量上傳通訊錄，匹配出幾百萬個帳號昵稱，再加上通過其他管道獲取的資訊一起對外出售。此次非法調用微博介面匹配出的資訊為微博帳號昵稱，不涉及身份證、密碼，對微博服務沒有影響。“發現異常後，我們及時加強了安全策略，今後還將不斷強化。”

對於本次數據洩露事件，一名業內安全專家向筆者表示，“對於微博的數據洩露，第一不能輕視，第二也不用太誇大，因為這是我們每年許多數據洩露事件中的一起。現在，隨著所有互聯網公司都在做數位化轉型，其實每一個企業都掌握了大量客戶資訊。這些資訊如果保護不到位的話，都會出現數據洩露。”

“無論是物理世界，還是數字世界，它都不是100% 的安全，一定會有各種各樣的風險。數據洩露，其實是數位化世界中非常普遍、需要重視的安全風險之一。”

二、原因分析

在今天的互聯網上，數據洩露層出不窮。在《2019 年數據洩露全年盤點》中，筆者從公開管道統計出數據洩露事件一共有43 件，涉及各行各業。

左耳朵耗子在 極客時間 的《從Equifax 資訊洩露看數據安全》中指出了數據洩露發生的原因：

1.利用程式框架或庫的已知漏洞。比如，美國征信機構Equifax 發生的1.45 億用戶數據洩露，就是利用Apache Struts 的已知漏洞；

2.暴力破解密碼。攻擊者利用密碼字典庫或是已經洩露的密碼來“撞庫”；

3.代碼注入。通過程式員代碼的安全性問題，如SQL 注入、XSS 攻擊、CSRF 攻擊等取得用戶的許可權；

4.利用程式日誌不小心洩露的資訊；

5.社會工程學

此外，他還闡述了因數據管理問題而發生的數據洩露，比如只有一層安全、弱密碼、向公網暴露了內部系統、安全日誌被暴露、保存了不必要保存的數據和密碼沒有被合理地散列等。

具體到本次微博的數據洩露，這名資深安全人士指出，根據目前披露的一些資訊，在很多社交平臺，它都有根據用戶通訊錄去查找好友的功能。以微博為例，用戶註冊登錄後，它會詢問你是否要匹配通訊錄中的好友。“除了微博，拼多多、京東、抖音都有類似的功能”。

這名資深安全人士說，“微博的數據洩露，很大概率可能是黑灰產的攻擊者利用介面的業務功能考慮不周全或有缺陷的情況，在本地通過腳本或自動化工具去大量生成。”

黑產或灰產會利用手中工具在本地生成大量連續的手機號，利用微博的介面，去匹配微博上面的帳號。通過這種方式，它可以生成你的微博和手機資訊的綁定，利用這種綁定去準確定位你的微博。“有了手機號後，可以去匹配一些其他的資訊，找到你的 QQ 號、身份證號碼等。匹配到一些資訊後，它還可能拿到你的帳戶密碼，然後撞庫找到其他資訊。”他說。

簡言之，利用微博，定位到個人、手機號、微博ID 和QQ 號。拿到手機號和QQ 後，再去獲取身份證資訊、密碼資訊等。

三、2個小建議，讓你的數據更安全

對網友而言，我們雖然是個人資訊數據的擁有者，但不是數據的控制者。“當我們把資訊委託給某一個平臺，那我們其實將主動權交給了對方。”

1.作為一個普通人，我們可以採取一些舉措去有效地保護個人數據：

在不同平臺設置不同密碼，並在某個固定時間去修改所有密碼。這樣雖然麻煩點，但是好處是，一旦數據洩露，影響面比較小。並且，頻繁修改密碼後，即使發生洩露，資訊有效性的時間會比較短；

2.重要資訊分類使用。當獲取服務時，手機要綁定個人資訊，要多加注意被綁定的資訊。

四、專家支3招，企業防洩露

無疑，微博的數據洩露給廣大企業敲響了警鐘。當數據成為這個時代的“石油”，它就成為許多人爭奪的對象。

對企業或組織機構而言，它們對數據洩露應採取積極主動的態度，避免數據洩露事件發生。

有安全專家給出了3 條建議：

1、完善數據安全防護手段

當前，企業對數據安全主要採取防範電腦病毒、網路攻擊、網路侵入的網路邊界防護和終端管控手段，缺少對內容的深度識別或感知技術，並且缺少對敏感數據的全方位治理和安全管理手段。

敏感數據是什麼、存放在什麼位置、流轉經過哪些節點、數據洩露後如何溯源追責，企業都應該採取相應的數據安全產品和技術手段來解決這些問題。

2、建立可落地的行業性數據安全規範和企業數據安全管理制度

最近幾年，數據安全已經被逐步納入國家法規和行業規範中，包括《網路安全法》、《網路安全等級保護基本要求 2.0》、《個人資訊安全規範》、歐盟《GDPR》等。數據安全已經成為新一代資訊安全標準的基本內容。

雖然這些已頒佈的法律法規對數據安全和個人資訊保護進行了明確立法規定，對各類組織承擔的數據安全保障義務與責任進行明確要求，並保障個人對其個人資訊的安全可控。

這位專家表示，“如果上述法規要指導企業落實具體的數據安全保護手段，仍然需要結合具體行業特點，對數據安全防護的技術手段進行明確要求，增強可落實性和可執行性。”

3、提高安全意識，增加對內部數據洩露風險的防護

目前，企業對數據安全的投入，主要是針對外部攻擊的防護，如防火牆、IDS、防病毒軟體等，而這些技術手段很難對內部人員有意或無意的洩露行為進行識別和防護。

調查結果表明，絕大部分的洩露風險來自企業內部，其中郵件外發和互聯網上傳是兩個最方便的數據外傳手段，也是洩露事件發生概率最高的兩個管道。

因此，企業應加強對內部員工或運維人員的安全意識管理，增加對數據防洩漏產品的投入，實行對內部人員洩露行為的檢測和管控，降低內部人員有意無意的拷貝、外發和上傳等操作帶來的數據洩露風險。

免責聲明：本平臺不保證所提供資訊的精確性和完整性，內容僅供學習交流和參考，對任何人使用本資訊所引發的任何直接或間接損失均不承擔任何法律責任，我們旨在傳播美好。

本平臺文章版權歸原作者及原出處所有，若平臺發佈的內容涉及侵權或來源標記有誤，煩請告知，我們將根據要求更正或刪除有關內容。