微博數(shù)據疑泄露怎么回事？微博泄露了哪些數(shù)據如何泄露的

3月19日上午，有微博名為“安全_云舒”的用戶轉發(fā)微博時稱：“很多人的手機號碼泄露了，根據微博(WB.US)賬號就能查到手機號……已經有人通過微博泄露查到我的手機號碼，來加我微信了。”

隨后，該網友在微博下的留言中進一步表示，他通過技術查詢，發(fā)現(xiàn)不少人的手機號已被泄露，當中涉及不少微博認證的明星、官員、企業(yè)家。“來總的手機號也被泄露了，我昨晚查過。”(“來總”代指微博CEO 王高飛)

在網友“安全_云舒”的微博主頁上，其個人介紹為“默安科技創(chuàng)始人兼 CTO”，原阿里集團安全研究實驗室總監(jiān)。36 氪向默安科技官方求證，證明以上信息屬實，“安全_云舒”確為默安科技CTO 魏興國，“云舒”是其在阿里巴巴的花名。

在魏興國的微博下，仍有網友不斷留言稱自己疑似遭遇了數(shù)據泄露，且泄露信息多為手機號，甚至有人發(fā)出了疑似微博個人數(shù)據的打包售賣截圖，標價為1799 元。

隨后，有微博認證為“微博安全總監(jiān)”的網友羅詩堯在微博中回復稱：多謝關心，每隔段時間就有人在網上賣(數(shù)據)，每次都會引起一波輿情，本不想回應，這條微博今后還會用得上。

36氪就“數(shù)據泄露”一事向微博方面求證，對方表示內部正在了解情況。

對于數(shù)據泄露的原因，根據魏興國在微博上的表述，這次事件或是由于微博在 2019 年被人通過接口“薅走了一些數(shù)據”，而不是所謂的“數(shù)據脫庫”。

所謂數(shù)據脫庫，是指網站遭到入侵后，黑客竊取數(shù)據庫并將所有數(shù)據信息拿走，屬于安全領域非常嚴重的事故。

“像微博這樣體量的公司，被黑客大規(guī)模入侵的概率不大，它們遭遇的應該不是脫庫。”一位安全領域的資深人士告訴 36 氪。

上述人士分析稱，出現(xiàn)這樣的數(shù)據泄露現(xiàn)象有兩種可能，一種是“撞庫”，一種是某些業(yè)務出現(xiàn)了“漏水”。

其中，“漏水”是指企業(yè)某些非核心業(yè)務團隊規(guī)模小，沒有按照統(tǒng)一規(guī)范流程搭建業(yè)務，因此出現(xiàn)風險，比如沒有做好關鍵數(shù)據隔離、沒有做好權限分層管控、沒有做好數(shù)據加密存儲等。

而“撞庫”則是黑市倒賣數(shù)據的一種慣用手段。很多人喜歡將不同網站的密碼設置為同一個，一旦你在某個網絡安全能力較弱的網站密碼被黑客獲取，黑客就可以用該密碼循環(huán)測試其他網站，這種手段就叫“撞庫”。

“個人信息數(shù)據泄漏大多是在應用層/業(yè)務這一頭泄漏的，一個是內部的大量需要業(yè)務上接觸數(shù)據的業(yè)務類員工，一個是對外公開的接口或對合作伙伴的接口。”另一位國內網絡安全專家進一步向 36 氪表示，他從另一種角度闡明了這次事故產生的可能性：

這次微博個人信息數(shù)據泄漏，最可能的原因是通訊錄好友匹配攻擊導致的。很多社交app都有通過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶賬號的關聯(lián)。比如先偽造通訊錄有xxxx00001到xxxx010000手機號匹配好友，再偽造xxxx010001到xxxx020000手機號匹配好友，不斷列舉，就能關聯(lián)出微博id到手機號的關系。

“建議大公司盡量關閉通訊錄匹配功能，如果開啟，必須對此接口進行各種數(shù)據泄漏監(jiān)測和流控/風控措施。”上述人士對 36 氪談到。

數(shù)據泄露已成為互聯(lián)網行業(yè)典型故事之一。去年11月，Twitter(TWTR.US)就出現(xiàn)過利用通訊錄匹配功能獲得百萬推特用戶賬號和手機號的數(shù)據泄漏事件，隨后 Facebook(FB.US)關閉了這一功能。而國內知名的一次數(shù)據泄露數(shù)據當屬 2011 年的“CSDN 百萬用戶信息外泄”。當年有黑客在網上公開了知名程序員網站CSDN的用戶數(shù)據庫，高達600多萬個明文的郵箱賬號和密碼遭到外泄。