圖片來源@視覺中國(guó)

“微博個(gè)人信息已經(jīng)可以在暗網(wǎng)上買賣了。

我都買到我自己的信息了。”3月19日晚間，一位區(qū)塊鏈領(lǐng)域資深人士向鈦媒體App表示：“在Telegram上，已有大量被泄露個(gè)人信息可以用btc和eth交易，目前暗網(wǎng)已經(jīng)瘋了，大家都在瘋狂查詢，這事已在國(guó)際暗網(wǎng)上產(chǎn)生巨大影響?！?p>

這還要源于3月19日上午默安科技CTO魏興國(guó)發(fā)布的一條微博（目前已刪除）。魏興國(guó)稱，通過技術(shù)查詢發(fā)現(xiàn)不少人手機(jī)號(hào)已經(jīng)泄露。

很快，微博針對(duì)微博數(shù)據(jù)泄露一事回應(yīng)承認(rèn)屬實(shí)，目前已及時(shí)強(qiáng)化安全策略，并表示這起數(shù)據(jù)泄露不涉及身份證、密碼，對(duì)微博服務(wù)沒有影響。但是微博還稱，“此次數(shù)據(jù)泄露應(yīng)該追溯到2018年底，當(dāng)時(shí)，有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄，匹配出幾百萬個(gè)賬號(hào)昵稱，再加上通過其他渠道獲取的信息一起對(duì)外出售。其一直有提供根據(jù)通訊錄手機(jī)號(hào)查詢微博好友昵稱的服務(wù)，用戶授權(quán)后可以使用該服務(wù)。但微博不提供用戶性別和身份證號(hào)等信息，也沒有“根據(jù)用戶昵稱查手機(jī)號(hào)”的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼，對(duì)微博服務(wù)沒有影響。此次非法調(diào)用微博接口匹配出的信息即為微博賬號(hào)昵稱，不涉及其余隱私數(shù)據(jù)。”

但是根據(jù)上述用戶向鈦媒體提供的信息顯示，其個(gè)人綁定微博的信息包括姓名、郵箱、地址、手機(jī)號(hào)、微博賬號(hào)、密碼等8項(xiàng)信息均已經(jīng)能在暗網(wǎng)買到。某暗網(wǎng)以“贊助形式”收取費(fèi)用。不過，每個(gè)人被泄漏的數(shù)據(jù)類型和數(shù)量也有所不同。另外有用戶向鈦媒體App透露，其在暗網(wǎng)上買到的“自己”的微博綁定信息，還包括老密碼、身份證號(hào)、車牌號(hào)、貼吧綁定的賬號(hào)、綁定的qq號(hào)等。

該人士隨后補(bǔ)充道，用戶還可以花錢把自己的信息屏蔽，不讓別人查詢?！拔遗笥训男畔⑽乙踩疾榈搅?，密碼都有，還有幾個(gè)他經(jīng)常上網(wǎng)的地址，信息泄漏真的太恐怖了?！?/p>

在魏興國(guó)那條被刪除的微博評(píng)論中，亦曾有網(wǎng)友表示，發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，其中，1.72億條有賬戶基本信息，售價(jià)0.177比特幣。涉及到的賬號(hào)信息包括用戶ID、賬號(hào)發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等。

微博數(shù)據(jù)突遭泄露

3月19日上午，微博名為“安全_云舒”的用戶轉(zhuǎn)發(fā)微博時(shí)稱：“很多人的手機(jī)號(hào)碼泄露了，根據(jù)微博賬號(hào)就能查到手機(jī)號(hào)……已經(jīng)有人通過微博泄露查到我的手機(jī)號(hào)碼，來加我微信了?！?/p>

該微博信息顯示，此人為默安科技創(chuàng)始人兼CTO，原阿里集團(tuán)安全研究實(shí)驗(yàn)室總監(jiān)。默安科技方面證實(shí)稱，“安全_云舒”確為默安科技CTO魏興國(guó)，“云舒”是其在阿里巴巴的花名。

隨后，魏興國(guó)在微博下的留言中進(jìn)一步表示，他通過技術(shù)查詢，發(fā)現(xiàn)不少人的手機(jī)號(hào)已被泄露，當(dāng)中涉及不少微博認(rèn)證的明星、官員、企業(yè)家?！皝砜偅ㄢ伱襟w注：來總為微博CEO王高飛，微博名為“來去之間”）的手機(jī)號(hào)也被泄露了，我昨晚查過?！币灿芯W(wǎng)友不斷留言稱自己疑似遭遇了數(shù)據(jù)泄露，且泄露信息多為手機(jī)號(hào)，甚至有人發(fā)出了疑似微博個(gè)人數(shù)據(jù)的打包售賣截圖，標(biāo)價(jià)為1799元。

原因或?yàn)閿?shù)據(jù)撞庫(kù)或漏水

值得注意的是，認(rèn)證為微博安全總監(jiān)的網(wǎng)友@羅詩(shī)堯也在評(píng)論中回復(fù)稱，這應(yīng)該是此前出現(xiàn)了數(shù)據(jù)“撞庫(kù)”或“漏水”現(xiàn)象，“多謝關(guān)心，每隔段時(shí)間就有人在網(wǎng)上賣（數(shù)據(jù)），每次都會(huì)引起一波輿情，本不想回應(yīng)，這條微博今后還會(huì)用得上?！?/p>

其中，撞庫(kù)是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的帳號(hào)密碼，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，這就可以理解為撞庫(kù)攻擊。

漏水則是指企業(yè)某些非核心業(yè)務(wù)團(tuán)隊(duì)規(guī)模小，沒有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù)，因此出現(xiàn)風(fēng)險(xiǎn)，比如沒有做好關(guān)鍵數(shù)據(jù)隔離、沒有做好權(quán)限分層管控、沒有做好數(shù)據(jù)加密存儲(chǔ)等。

目前，魏興國(guó)已經(jīng)將前述微博刪除，并表示數(shù)據(jù)泄露應(yīng)該是被人通過接口薅了一些數(shù)據(jù)。值得注意的是，2016年時(shí)，微博即與脈脈就抓取用戶數(shù)據(jù)等曾對(duì)簿公堂，當(dāng)時(shí)，脈脈也被微博控告稱通過用戶手機(jī)通訊錄來非法獲取通訊錄和新浪微博用戶的對(duì)應(yīng)關(guān)系。

（本文首發(fā)鈦媒體App，作者 | 石萬佳）