微博最近又火了，是互聯(lián)網(wǎng)上最嚴(yán)重的安全事件——的數(shù)據(jù)泄露。

3月19日，微博認(rèn)證為“ 默安科技創(chuàng)始人，原阿里集團(tuán)安全研究實(shí)驗(yàn)室總監(jiān)”的網(wǎng)友@安全_云舒 轉(zhuǎn)發(fā)了一條微博并稱：“很多人的手機(jī)號(hào)碼泄露了，根據(jù)微博賬號(hào)就能查到手機(jī)號(hào)……已經(jīng)有人通過(guò)微博泄露查到我的手機(jī)號(hào)碼，來(lái)加我微信了。”

隨后，在微博下的留言中進(jìn)一步表示，他通過(guò)技術(shù)查詢，發(fā)現(xiàn)不少人的手機(jī)號(hào)已被泄露，當(dāng)中涉及不少微博認(rèn)證的明星、官員、企業(yè)家?！皝?lái)總的手機(jī)號(hào)也被泄露了，我昨晚查過(guò)?！保ā皝?lái)總”指微博CEO）

在其微博下，不少人留言表示自己也疑似遭遇了數(shù)據(jù)泄露，更有網(wǎng)友表示，發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，其中，1.72億條有賬戶基本信息。涉及到的賬號(hào)信息包括用戶ID、賬號(hào)發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等。

有人發(fā)現(xiàn)在名為社工庫(kù)機(jī)器人的黑產(chǎn)平臺(tái)，可以通過(guò)微博ID可以查到很多人的名字、手機(jī)號(hào)和身份證號(hào)等更多個(gè)人信息！而且價(jià)格門檻特別低，只需要0.0138ETH，大約十塊錢一次！

據(jù)自媒體Phala可信網(wǎng)絡(luò)匯總，黑產(chǎn)平臺(tái)有以下幾種查詢方式：

1、選擇批量查詢→機(jī)器人批量輸出名單（每次100個(gè)左右）。包括：微博賬號(hào)、郵箱、密碼等信息。

2、選擇根據(jù)微博賬號(hào)查詢→給機(jī)器人輸入微博主頁(yè)的Oid→機(jī)器人輸出結(jié)果。包括：綁定QQ、綁定手機(jī)、微博主頁(yè)地址。

3、輸入綁定QQ，機(jī)器人輸出真實(shí)姓名、老密信息（密碼）、姓名、手機(jī)、郵箱、QQ關(guān)聯(lián)賬號(hào)、QQ密碼。

4、輸入綁定手機(jī)，機(jī)器人輸出真實(shí)姓名、老密信息（密碼）、姓名、手機(jī)、郵箱、微博賬號(hào)、微博綁定手機(jī)。

5、直接查詢真實(shí)姓名：機(jī)器人輸出老密信息(密碼)、身份證姓名、性別、其他信息、地址。

6、直接查詢身份證號(hào)：機(jī)器人輸出身份證號(hào)和真實(shí)姓名。

很不幸，倪叔也中招了。

隨后微博官方回復(fù)36氪稱：

1、微博一直提供根據(jù)通訊錄手機(jī)號(hào)查詢微博好友昵稱的服務(wù)，用戶授權(quán)后可以使用該服務(wù)。但微博不提供用戶性別和身份證號(hào)等信息，也沒(méi)有“根據(jù)用戶昵稱查手機(jī)號(hào)”的服務(wù)。

2、2018年底，有用戶通過(guò)微博相關(guān)接口通過(guò)批量手機(jī)批量上傳通訊錄，匹配出幾百萬(wàn)個(gè)賬號(hào)昵稱，再加上通過(guò)其他渠道獲取的信息一起對(duì)外出售。此次非法調(diào)用微博接口匹配出的信息為微博賬號(hào)昵稱，不涉及身份證、密碼，對(duì)微博服務(wù)沒(méi)有影響。

3、發(fā)現(xiàn)異常后，我們及時(shí)加強(qiáng)了安全策略，今后還將不斷強(qiáng)化。

微博的回應(yīng)概括一下就是，手機(jī)號(hào)早就泄露了，其余信息是通過(guò)其他渠道獲取的，跟微博沒(méi)有關(guān)系，不影響微博使用。

微博這種態(tài)度，多少讓人有點(diǎn)火大。不重要信息泄露，就不算泄露，不影響微博服務(wù)，影不影響用戶？

不論是泄露的數(shù)據(jù)究竟是什么，微博作為一家用戶幾億的國(guó)內(nèi)信息社交平臺(tái)，手中掌握了大量的用戶數(shù)據(jù)，就應(yīng)當(dāng)為這些數(shù)據(jù)的安全保駕護(hù)航。

而且既然已經(jīng)發(fā)生了類似的數(shù)據(jù)泄露事件，微博也并沒(méi)有警示用戶個(gè)人隱私泄露的風(fēng)險(xiǎn)，提醒用戶采取相應(yīng)行動(dòng)避免損失，而是告訴用戶：盡管數(shù)據(jù)泄露了，但情況不嚴(yán)重，大家可以放心。

根據(jù)《 信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定，個(gè)人敏感信息如果泄露，應(yīng)及時(shí)實(shí)施安全事件的告知，將事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個(gè)人信息主體。難以逐一告知個(gè)人信息主體時(shí)，應(yīng)采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息；告知內(nèi)容應(yīng)包括但不限于：

1、安全事件的內(nèi)容和影響；

2、已采取或?qū)⒁扇〉奶幹么胧?/p>

3、個(gè)人信息主體自主防范和降低風(fēng)險(xiǎn)的建議；

4、針對(duì)個(gè)人信息主體提供的補(bǔ)救措施；

5、個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的聯(lián)系方式。

微博這個(gè)聲明表示出不在意的態(tài)度，完全是漠視用戶權(quán)益的一種表現(xiàn)。

不過(guò)這很新浪，仔細(xì)想來(lái)自從騰訊微博敗北以后，新浪微博已經(jīng)很久沒(méi)有對(duì)手了。

最近幾年的種種騷操作，不管是頂著全民怒火撤熱搜，還是莫名其妙給你關(guān)注一堆賬號(hào)，又或者一不小心點(diǎn)到微博推廣的廣告就開(kāi)始自動(dòng)下載，它好像從來(lái)沒(méi)把用戶放在過(guò)眼里。

用戶對(duì)新浪微博已經(jīng)積怨已久，可以說(shuō)天下苦微博久異矣，若是新浪微博再不反省，恐怕下次再有巨頭進(jìn)攻微博這塊肥肉，就是新浪微博的末日了。

來(lái)源： 倪叔的思考暗時(shí)間