近日,微博用戶數據洩露,用戶的手機號等信息在暗網火爆交易中。工信部也就此問題對新浪微博開展問詢約談。
截圖自:中華人民共和國工業和信息化部官網
目前微博已承認數據洩露,但是否認了身份證和密碼的洩漏,並稱將及時強化安全策略。
也就是說,這次微博個人信息數據洩漏,最可能的原因是通訊錄好友匹配攻擊導致的。所謂通訊錄匹配,是很多社交軟件都有的功能,用以導入用戶的外部社交網絡,也可以看做變相的爬蟲。
專業人士親自試驗
證實手機、密碼等信息都可以被查到
有位叫Marvin的博主在出售隱私數據的平臺Telegram上,親自試驗了整個購買流程。
他嘗試查詢了知名博主李永樂老師的信息,先從網頁後臺查到OID。
根據OID,查到了微博綁定的手機號、QQ號,進而可以查詢到微博密碼等等信息。
作者用自己的手機號進行了驗證,並證實自己的諸多郵箱、密碼等信息都已洩漏。
諷刺的是,販賣數據的人竊取了用戶的隱私,但是他們有極強的自我隱私保護意識。首先交易在Telegram平臺上進行,都是通過機器人完成的,其次使用的貨幣是BTC/ETH等數字貨幣,且為每個用戶單獨生成地址,便於洗錢和反偵察。最後他們還開發了隱私保護功能,也就是說花錢把某一條數據匿名存儲,這樣別人就查詢不到了。
洩露事件頻發,我們如何應對?
數據洩露已成為互聯網行業典型故事之一,據安全情報供應商Risk Based Security的報告,2019年1月1日至2019年9月30日,全球披露的數據洩露事件有5183起,洩露的數據量達到了79.95億條記錄。
去年11月,Twitter就出現過利用通訊錄匹配功能獲得百萬推特用戶賬號和手機號的數據洩漏事件,隨後Facebook關閉了這一功能。而國內知名的一次數據洩露數據當屬 2011年的“CSDN 百萬用戶信息外洩”。當年有黑客在網上公開了知名程序員網站CSDN的用戶數據庫,高達600多萬個明文的郵箱賬號和密碼遭到外洩。
對於我們普通用戶來說,首先,修改微博密碼,其次,不要在多個網站上使用同一套簡單的密碼,是目前降低信息洩露風險的最好方式了。最後教給大家保護密碼的九種辦法。
1.不要偷懶:
研究報告稱:九宮格這九個點,一共有140704種可能的圖案組合,但是我們常用的就只有幾種,沒辦法,這就是我們的本性,喜歡偷懶,和密碼使用“123456”、“abcdef”是一樣的。
這是外國網站統計的“最爛密碼”:
“123456”“12345”“password”“DEFAULT”“123456789”“qwerty”“12345678”“abc123”“1234567”
這是中國統計的:
對照一下你有沒有中槍?如果有這種密碼,並且應用在重要的網站上面,一定要修改。
2.你需要一個複雜的密碼:
索尼娛樂(Sony Entertainment)的前任CEO邁克爾·林頓(Michael Lynton)就使用“sonyml3”作為自己的域賬號密碼,難怪他的電子郵件遭到黑客攻擊並被傳播到了互聯網上。
具體密碼設置的方法,可以參照小密的舊文:還在用“生日”做密碼?讓黑客吐血的好密碼應該這樣設!
3.使用密碼管理器:
對,你需要一個密碼管理器,把各個地方的密碼管理起來。好處就是下一次找不到密碼的時候不用抓瞎了,只要複製粘貼就可以了,密碼管理器能夠幫助你解決記憶的難題,還能保證較高的安全性。
如果你嫌麻煩,至少你可以做一個替代版的密碼管理器,方法是“雲筆記”+“密碼生成器”。雲筆記比如有道雲筆記、evernote,用來記錄各個軟件、網站的密碼,或者可以放在一個文檔中,保存在電腦本地。當然,也要設置密碼。
4.使用替代語言:
比如:農業銀行:4the1sttimein4ever*寫成:小麥餅:4the1sttimein4ever*
用替代語是很好的,假如你們不小心將帶有各種密碼的文檔或者截圖發到了網絡上,這樣別人即使看到了,也是一頭霧水的。
5.使用屏保/鎖屏密碼:
如果是pc,一定要設置屏保密碼,假設你突然被叫走,你也不知道你的電腦誰會動過,可能重要的文件會被拷走,你也不知道你不在的這段時間會發生什麼。
手機上的鎖屏密碼也是一樣,我們的手機都太重要了,手機裡面的資料也太重要了。如果你沒帶鑰匙出門了,可能會想算了,晚上回來再說吧。你沒帶手機試試?
6.不要使用同一個密碼:
一個密碼走天下?但是危險係數也很高,網站裡面比較脆弱的小站一旦被攻破,就會危及到其他網站的密碼安全。
7.定期更換密碼:
沒錯,密碼要定期更換。微信、支付寶等重要賬號單獨設置密碼,並定期更換密碼,可有效避免自身賬號被盜。
8.更換手機/電腦時,記得徹底刪除私人信息:
經常換手機的同學注意了,舊手機不用的話賣之前一定要把重要信息清除,換工作離職的時候記得把電腦裡面的個人文件統統清除。
在百度網盤看芸芸眾生,這不是玩笑。早年間,因為“公開分享”功能和第三方搜索引擎的緣故,百度網盤裡面可以看得到別人的各種資料。身份證照片、婚紗照、私密照、通訊錄……
所以,留心一下手機百度網盤的自動分享是不是打開著,檢查一下自己的網盤裡面是不是還有公開分享的內容,別把裝滿密碼的文檔分享到朋友圈,上傳到百度網盤也不行。
小密說
最後小密想說,對於個人信息安全,除了必要的技術手段,養成較好的信息安全意識也同樣重要,畢竟,目前任何一種安全技術都不能保證絕對安全,指紋解鎖、面部解鎖也不例外。不知各位密粉有沒有get到關鍵點呢?
本文綜合自:商密君 中國反邪教
閱讀更多 成華密語 的文章
