相對於暗網的數據打包“一口價”,Telegram上則有灰產人士提供微博、QQ、貼吧等社交賬戶關聯手機號碼及其他信息的定向查詢服務,用戶只要輸入想要查詢的微博賬號信息,即可關聯出用戶的手機號碼,只要肯付費還能查看更多個人信息。
新京報訊 微博近日被爆出發生用戶數據洩露事件。新京報記者3月20日調查發現,在一些外網交易平臺上確實出現了相關的數據買賣,只要繳費即可通過微博賬號查詢到用戶的手機號碼及其他更詳細個人私密信息。
此次疑似信息洩露事件引起公眾關注,始於3月19日默安科技CTO魏興國發布的一條微博(目前已刪除),魏興國稱,通過技術查詢發現不少人手機號已經洩露。
對於這次用戶數據洩露,微博方面公開回應稱,此次數據洩露應該追溯到2018年底。當時,有用戶利用微博相關接口通過手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
微博表示,其一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有根據用戶暱稱查手機號的服務。這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。此次非法調用微博接口匹配出的信息即為微博賬號暱稱,不涉及其餘隱私數據。“目前微博已經及時強化安全策略,並將不斷強化。”
新京報記者發現,在暗網與Telegram平臺確實有關於微博用戶數據的交易帖。其中,有暗網用戶於3月4日發佈了一條名為“5.38億微博用戶綁定手機號數據,其中1.72億有賬號基本信息”的交易信息,售價1388美元。該用戶稱,這些信息“均為2019年年中左右抓取”,並給出400條綁定手機號的測試數據,以及1500條賬號基本信息的測試數據。
相對於暗網的數據打包“一口價”,Telegram上則有灰產人士提供微博、QQ、貼吧等社交賬戶關聯手機號碼及其他信息的定向查詢服務,用戶只要輸入想要查詢的微博賬號信息,即可關聯出用戶的手機號碼,只要肯付費還能查看更多個人信息。
3月20日,新京報記者在Telegram上向灰產人士購買了價值約12元人民幣的積分,獲得了201條微博用戶信息,其中不少信息包括用戶身份證號、手機號、密碼、生日等私密信息。對於灰產人士提供的微博定向查詢手機號服務,記者測試查詢了3個已綁定手機的微博賬號,結果有2個微博賬號被查詢正確的關聯手機號碼,其中1個還給出了微博綁定的QQ等更詳細的信息,而另一個微博賬號的查詢結果顯示“無信息”。
灰產人士提供的微博用戶信息。
需要注意的是,顯示“無信息”的微博賬號在隱私設置中設置了“不允許通過此手機號搜到我”,這或許是該微博用戶手機號碼沒有洩露的原因。
有安全專家告訴新京報記者,這也許說明微博這次信息洩露確與其通訊錄接口有關,“該功能讓APP可以讀取用戶通訊錄,這樣用戶的手機號碼數據就會被上傳,企業應做好這方面的數據保護。”
新京報記者 看星 編輯 趙澤 校對 李世輝
閱讀更多 苦咖啡人生 的文章
