據工信部官網3月24日消息,3月21日,針對媒體報道的新浪微博因用戶查詢接口被惡意調用導致App數據洩露問題,工業和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談過。
對此,新浪微博回應稱,公司高度重視數據安全和個人信息保護,針對此次事件已採取了升級接口安全策略等措施,後續將按照工信部要求,落實企業數據安全主體責任,切實做好用戶個人信息保護工作。
尚法新聞(ID:zgsbfzzk)注意到,此次洩露事件並非是新浪微博首次被有關部門約談,也不是第一次發生侵犯用戶隱私行為。
因數據洩露被約談
工信部官網顯示,2020年3月21日,針對媒體報道的新浪微博因用戶查詢接口被惡意調用導致App數據洩露問題,工業和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談。
要求其按照《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規要求,對照工業和信息化部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步採取有效措施,消除數據安全隱患。
具體要求為:一是要儘快完善隱私政策,規範用戶個人信息收集使用行為;二是要加強用戶信息分類分級保護,強化用戶查詢接口風險控制等安全保護策略;三是要加強企業內部數據安全管理,定期及新業務上線前要開展數據安全合規性自評估,及時防範數據安全風險;四是要在發生重大數據安全事件時,及時告知用戶並向主管部門報告。
對此,新浪微博表示,公司高度重視數據安全和個人信息保護,針對此次事件已採取了升級接口安全策略等措施,後續將按照工業和信息化部要求,落實企業數據安全主體責任,切實做好用戶個人信息保護工作。
事件回顧:5億用戶數據被洩露
公開信息顯示,3月4日,有暗網用戶發佈了一則名為“5.38億微博用戶綁定手機號數據,其中1.72億有賬號基本信息”的交易信息,售價1388美元。
該用戶稱,這些信息“均為2019年年中左右抓取”,並給出400條綁定手機號的測試數據,以及1500條賬號基本信息的測試數據。其中綁定手機數據包括用戶的ID和手機號,賬號信息則包括用戶暱稱、頭像、粉絲數、所在地等。
經安全圈人士驗證,部分測試數據屬實。
3月18日晚,默安科技創始人兼CTO雲舒發博提及此事。很快,微博CEO王高飛(@來去之間)回覆稱“是2014年以前網易那次撞庫的”。
隨後,微博安全總監羅詩堯則解釋稱,此次洩露的手機號是“2019年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的”,並表示微博內部發現異常後“馬上堵住了口子”,第一時間報了警(相關微博已被刪除)。
此後,微博對《AI財經社》表示,此次數據洩露應該追溯到2018年底。當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
微博還強調,微博一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,但不提供用戶性別和身份證號等信息,也沒有“根據用戶暱稱查手機號”的服務。因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。未來微博將不斷強化安全保護策略。
保護用戶隱私信息存漏洞
尚法新聞(ID:zgsbfzzk)發現,數據洩露事件並非新浪微博首次發生侵犯用戶隱私的行為。
2013年9月11日至2014年8月15日,脈脈曾經獲得微博授權,用戶可通過微博賬戶註冊脈脈,同時脈脈可獲得微博用戶的部分信息。
但是,在合作期間,脈脈在沒有得到微博授權,也未經未註冊用戶許可的情況下,將脈脈用戶手機通訊錄裡的聯繫人與新浪微博用戶對應,並展示在脈脈用戶“一度人脈”中。而且,在合作終止後,仍繼續使用這些信息。
2015年2月9日,因認為脈脈不當利用程序抓取微博用戶信息,新浪微博將脈脈運營主體(北京淘友天下技術有限公司和北京淘友天下科技發展有限公司,以下統稱“脈脈公司”)訴至北京市海淀法院,並提出高達1000萬元的索賠金額。
事後,新浪微博勝訴,獲得200萬元賠償,但這事件也暴露出新浪微博在保護用戶隱私信息方面存在漏洞。
據中消協此前發佈的報告顯示,在使用APP過程中,遇到過個人信息洩露情況的受訪者佔比達85.2%。信息洩露後,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件,排名位居前三位。我國網民因垃圾信息、詐騙信息、個人信息洩露等遭受的經濟損失一年高達915億元。
因“明星勢力榜”投訴問題被約談
值得一提的是,工信部的約談並非新浪微博首次被有關部門約談。
據北京市消協2019年7月22日披露,自7月16日起,北京市消協96315投訴、諮詢熱線陸續接到多起退款投訴,為此北京市消協聯合海淀區消協就“明星勢力榜”投訴問題約談了新浪微博。
據悉,消費者反映多起為參加新浪微博“明星勢力榜”的某明星打榜而購買虛擬鮮花,主辦方發佈公告暫停該明星上榜資格並承諾對本月為該明星購買鮮花的用戶進行退款後,主辦方存在退花不退款、拖延退款等行為,要求主辦方儘快退款。截至7月19日17時30分,96315投訴、諮詢熱線已累計接到相關投訴69件。
對此,北京市消協聯合海淀消協緊急約談新浪微博相關負責人,對有關投訴情況向新浪微博進行通報,並就消費者反映的問題和現階段的退款情況等事項進行查詢。北京市消協要求新浪微博重視消費者的訴求,對相關投訴及時核實處理,並就採取措施和退款情況向北京市消協作出書面說明。北京市消協將持續關注並進一步核實新浪微博反饋的有關情況。
7月14日,微博號@明星勢力榜發佈關於本週新星榜數據異常公告稱,近日反垃圾系統監測到,新星榜上部分明星粉絲通過非法第三方渠道對榜單數據進行刷榜,造成榜單閱讀人數、互動數、社會影響力數據異常。
經調查確認,明星粉絲後援會公開承認利用非法渠道刷榜,而明星本人和經紀公司對於刷榜行為並不知情。鑑於此次刷榜行為的嚴重性,將暫停刷榜明星上榜資格一個月,本月為該明星購買鮮花的用戶將於近日收到退款。
資料顯示,所謂的“打榜”是指粉絲通過點贊、評論、轉發、發帖、簽到、觀看視頻、發佈視頻等一系列操作,幫助自己的愛豆(偶像的暱稱)在熱度排行榜上提高排名的行為。
7月22日晚,新浪微博明星勢力榜公告稱,因未說明退款日期而向用戶道歉。已於7月17日完成2668人退款。
傳播淫穢色情信息突出問題被約談
2016年2月25日,國家互聯網信息辦公室有關業務局會同北京市網信辦就傳播淫穢色情信息突出問題聯合約談新浪微博負責人,要求其切實履行好互聯網信息服務提供者主體責任,立即開展自查自糾,全面清理淫穢色情信息,切實維護良好網絡生態。
國家互聯網信息辦公室有關業務局負責人表示,2016年以來,中國互聯網違法和不良信息舉報中心不斷接到新浪微博傳播淫穢色情有害信息的舉報。經查,新浪微博大量用戶賬號的名稱和頭像含有淫穢色情內容,傳播淫穢色情圖文,分享淫穢視頻鏈接,發佈色情交友、賣淫嫖娼信息,一些“微話題”以淫穢色情內容為名稱,集納大量違法信息。
國家互聯網信息辦公室有關業務局負責人強調,新浪微博必須進一步提高依法辦網意識,切實增強社會責任感,落實互聯網信息內容管理主體責任,全面清理淫穢色情信息,立即關閉違法違規賬號和“微話題”,及時將涉嫌違法犯罪的線索上報有關部門。同時要採取切實有效措施,加強內部管理和自律,完善內容管理制度,嚴肅處理相關責任人,認真進行整改,確保取得實效。若整改不符合要求,或者整改期間繼續出現違法違規行為,我辦將依法依規從嚴從重處罰。
新浪微博負責人對此作了深刻檢討,表示已經充分認識到自身依法辦網意識不強、社會責任缺失、內容管理不到位、賬號審核把關不嚴等突出問題,在履行信息內容管理主體責任方面存在不足,承諾將針對問題立即進行整改,認真吸取教訓,深入自查自糾,嚴格依法開展服務,積極傳播正能量,切實承擔起網絡媒體應有的社會責任。
此外,2018年1月27日,國家互聯網信息辦公室指導北京市互聯網信息辦公室針對新浪微博對用戶發佈違法違規信息未盡到審查義務,持續傳播炒作導向錯誤、低俗色情、民族歧視等違法違規有害信息的嚴重問題約談該企業負責人,責令其立即自查自糾,全面深入整改。
北京市互聯網信息辦公室相關負責人指出,新浪微博違反國家有關互聯網法律法規和管理要求,傳播違法違規信息,存在嚴重導向問題,對網上輿論生態造成惡劣影響。
對此,新浪微博負責人表示,要以認真嚴肅的態度,深刻吸取教訓,全面加強平臺業務和人員管理,切實對社會和廣大網民負責。將嚴格落實網信部門管理要求,對問題突出的熱搜榜、熱門話題榜、微博問答功能、熱門微博榜明星和情感版塊、廣場頭條欄目情感版塊暫時下線一週進行整改。(韓湘子)
閱讀更多 尚法新聞 的文章
