近日,微博用户数据泄露,用户的手机号等信息在暗网火爆交易中。工信部也就此问题对新浪微博开展问询约谈。
截图自:中华人民共和国工业和信息化部官网
目前微博已承认数据泄露,但是否认了身份证和密码的泄漏,并称将及时强化安全策略。
也就是说,这次微博个人信息数据泄漏,最可能的原因是通讯录好友匹配攻击导致的。所谓通讯录匹配,是很多社交软件都有的功能,用以导入用户的外部社交网络,也可以看做变相的爬虫。
专业人士亲自试验
证实手机、密码等信息都可以被查到
有位叫Marvin的博主在出售隐私数据的平台Telegram上,亲自试验了整个购买流程。
他尝试查询了知名博主李永乐老师的信息,先从网页后台查到OID。
根据OID,查到了微博绑定的手机号、QQ号,进而可以查询到微博密码等等信息。
作者用自己的手机号进行了验证,并证实自己的诸多邮箱、密码等信息都已泄漏。
讽刺的是,贩卖数据的人窃取了用户的隐私,但是他们有极强的自我隐私保护意识。首先交易在Telegram平台上进行,都是通过机器人完成的,其次使用的货币是BTC/ETH等数字货币,且为每个用户单独生成地址,便于洗钱和反侦察。最后他们还开发了隐私保护功能,也就是说花钱把某一条数据匿名存储,这样别人就查询不到了。
泄露事件频发,我们如何应对?
数据泄露已成为互联网行业典型故事之一,据安全情报供应商Risk Based Security的报告,2019年1月1日至2019年9月30日,全球披露的数据泄露事件有5183起,泄露的数据量达到了79.95亿条记录。
去年11月,Twitter就出现过利用通讯录匹配功能获得百万推特用户账号和手机号的数据泄漏事件,随后Facebook关闭了这一功能。而国内知名的一次数据泄露数据当属 2011年的“CSDN 百万用户信息外泄”。当年有黑客在网上公开了知名程序员网站CSDN的用户数据库,高达600多万个明文的邮箱账号和密码遭到外泄。
对于我们普通用户来说,首先,修改微博密码,其次,不要在多个网站上使用同一套简单的密码,是目前降低信息泄露风险的最好方式了。最后教给大家保护密码的九种办法。
1.不要偷懒:
研究报告称:九宫格这九个点,一共有140704种可能的图案组合,但是我们常用的就只有几种,没办法,这就是我们的本性,喜欢偷懒,和密码使用“123456”、“abcdef”是一样的。
这是外国网站统计的“最烂密码”:
“123456”“12345”“password”“DEFAULT”“123456789”“qwerty”“12345678”“abc123”“1234567”
这是中国统计的:
对照一下你有没有中枪?如果有这种密码,并且应用在重要的网站上面,一定要修改。
2.你需要一个复杂的密码:
索尼娱乐(Sony Entertainment)的前任CEO迈克尔·林顿(Michael Lynton)就使用“sonyml3”作为自己的域账号密码,难怪他的电子邮件遭到黑客攻击并被传播到了互联网上。
具体密码设置的方法,可以参照小密的旧文:还在用“生日”做密码?让黑客吐血的好密码应该这样设!
3.使用密码管理器:
对,你需要一个密码管理器,把各个地方的密码管理起来。好处就是下一次找不到密码的时候不用抓瞎了,只要复制粘贴就可以了,密码管理器能够帮助你解决记忆的难题,还能保证较高的安全性。
如果你嫌麻烦,至少你可以做一个替代版的密码管理器,方法是“云笔记”+“密码生成器”。云笔记比如有道云笔记、evernote,用来记录各个软件、网站的密码,或者可以放在一个文档中,保存在电脑本地。当然,也要设置密码。
4.使用替代语言:
比如:农业银行:4the1sttimein4ever*写成:小麦饼:4the1sttimein4ever*
用替代语是很好的,假如你们不小心将带有各种密码的文档或者截图发到了网络上,这样别人即使看到了,也是一头雾水的。
5.使用屏保/锁屏密码:
如果是pc,一定要设置屏保密码,假设你突然被叫走,你也不知道你的电脑谁会动过,可能重要的文件会被拷走,你也不知道你不在的这段时间会发生什么。
手机上的锁屏密码也是一样,我们的手机都太重要了,手机里面的资料也太重要了。如果你没带钥匙出门了,可能会想算了,晚上回来再说吧。你没带手机试试?
6.不要使用同一个密码:
一个密码走天下?但是危险系数也很高,网站里面比较脆弱的小站一旦被攻破,就会危及到其他网站的密码安全。
7.定期更换密码:
没错,密码要定期更换。微信、支付宝等重要账号单独设置密码,并定期更换密码,可有效避免自身账号被盗。
8.更换手机/电脑时,记得彻底删除私人信息:
经常换手机的同学注意了,旧手机不用的话卖之前一定要把重要信息清除,换工作离职的时候记得把电脑里面的个人文件统统清除。
在百度网盘看芸芸众生,这不是玩笑。早年间,因为“公开分享”功能和第三方搜索引擎的缘故,百度网盘里面可以看得到别人的各种资料。身份证照片、婚纱照、私密照、通讯录……
所以,留心一下手机百度网盘的自动分享是不是打开着,检查一下自己的网盘里面是不是还有公开分享的内容,别把装满密码的文档分享到朋友圈,上传到百度网盘也不行。
小密说
最后小密想说,对于个人信息安全,除了必要的技术手段,养成较好的信息安全意识也同样重要,毕竟,目前任何一种安全技术都不能保证绝对安全,指纹解锁、面部解锁也不例外。不知各位密粉有没有get到关键点呢?
本文综合自:商密君 中国反邪教
閱讀更多 成華密語 的文章
