5亿微博用户隐私泄露,你的个人信息其实是暗网的畅销品

微博最近又火了一把。这次不是因为又撤了什么热搜,而是互联网最严重的的安全事件——数据泄露。

众说纷纷,泄露数据内容的罗生门

3月19日,微博认证为“ 默安科技创始人,原阿里集团安全研究实验室总监”的网友@安全_云舒 转发了一条微博称:“很多人的手机号码泄露了,根据微博账号就能查到手机号。”甚至连微博CEO“来去之间”的手机号均告泄露。在评论区中,有网友表示怀疑是微博的用户隐私数据泄露,而且不是一般的泄露,而是最严重的脱库。


认证为微博安全总监的网友@罗诗尧在回复中称,这应该是此前出现了数据“撞库”或“漏水”现象。“来去之间”也表示“这是2014年那次网易撞库的结果。”

这里需要解释几个名词:

所谓拖库,就是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,并且根据字典表的内容尝试登陆其他网站。如果用户在其他网站的登录信息和已泄露的信息一致,就能成功登录,这就属于撞库成功的情况。

漏水则是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。

如果说撞库可以推说为是用户自身安全保护意识不足,以及其他网站安全措施不到位来背锅。但出现漏水的情况,即使是微博非核心业务团队,那也是微博自身出现了数据安全方面的管理问题和技术问题。

无论从哪个方面来说,这都应该是一起极其严重的个人敏感信息泄露事件,而且微博也在其中有不可推卸的责任。

微博官方的回复也并未迟到太久,微博针对微博数据泄露一事回应承认属实,目前已及时强化安全策略,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。数据泄露仅涉及微博账户昵称,是某些用户上传大量通讯录后匹配到了微博账户的昵称,并配合其他信息打包出售。

等等,一开始说的不是微博数据泄露导致手机号码等个人隐私数据流出吗,怎么看微博这回复的意思是手机号早就泄露了,微博也只是受害者,一切按照正常流程运行,没想到被人算计了,“无意”交出了微博账户昵称和手机号码对应的关系。但大家放心,微博把你们其他信息微博都保护的好好的。

事实上,打脸来的更快,据有关媒体报道,多家安全检测平台都已经监控到,有暗网用户于3月4日发布了一则“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元。其中绑定手机数据包括用户ID和手机号,账号基本信息包括昵称、头像、粉丝数、所在地等。。该用户在商品描述中称,上述信息“均为2019年中左右抓取”,并给出其中400条绑定手机号的测试数据,以及1500条账号基本信息的测试数据。经安全圈人士验证,部分测试数据属实。而且这不是唯一一个售卖的数据包,还有一个标价1799元人民币的数据包,也有类似内容。


爆料微博下有网友也提出了类似疑问:"我的微博是2019年7月份注册的,也可以查到绑定的手机号。应该确实是被拖库而非接口枚举,因为绝大多数绑定号码都可以查到,泄露的数据量很庞大有几亿条。”

对此,@罗诗尧的解释是这些手机号是2019年通过通讯录上传接口被暴力匹配的,并不是拖库,其他信息都是网上抓取的。

最早爆料的@安全_云舒 也回复称“应该是通过接口被人薅了羊毛。”

这次我们看明白了,这其实是两件事。大家关心的是泄露手机号码的事情,微博解释的是泄露微博账户昵称的事情。但是今天,舆论不想聊泄露微博账户昵称,就想聊泄露手机号码的事情。

但很遗憾的是,直到目前为止,微博除了上述回应外,并无更为正式的回应。而且上述回复目前均已删除。泄露数据的内容究竟是什么,陷入罗生门。

但是不论是泄露的数据究竟是什么。微博作为一家用户几亿的国内信息社交平台,手中掌握了大量的用户数据,就应当为这些数据的安全保驾护航。而且既然已经发生了类似的数据泄露事件,微博也并没有警示用户个人隐私泄露的风险,提醒用户采取相应行动避免损失,而是一再告诉用户:尽管数据泄露了,但情况不严重,大家可以放心。微博技术负责人和管理负责人对此事都表示出不在意的态度,是否是漠视用户权益的一种表现呢?

根据2020年3月9日公布的《 信息安全技术个人信息安全规范》规定,个人敏感信息如果泄露,应及时实施安全事件的告知,将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;告知内容应包括但不限于: 1) 安全事件的内容和影响; 2) 已采取或将要采取的处置措施; 3) 个人信息主体自主防范和降低风险的建议; 4) 针对个人信息主体提供的补救措施; 5) 个人信息保护负责人和个人信息保护工作机构的联系方式。微博的声明,显然是不够的。

微博,这次从处理态度到企业合规等各个方面,都算是交了不及格答卷。

可能有人会认为,如此大规模的信息泄露属于低概率偶发事件,微博处理方式欠妥也是正常的。然而,在世界范围内严峻的数据安全形势下,这只是一个规模略大的数据泄露事件而已。数据泄露的灰黑产业,它就像附在互联网大动脉上的吸血寄生虫,随着互联网的发展而成长,远比你想象中要大得多。

数据泄露,互联网动脉的寄生虫

刚刚过去的2019年,是可以说人类有史以来数据泄露最严重的一年了。安全情报供应商Risk Based Security (RBS) 的2019年Q3季度的报告,2019年前三季度的数据泄露事件就超过了5000件,是2018年全年的112%。

其中19起大规模数据泄露事件均为个人信息的数据泄露。每起事故泄露数据量都过亿条。这些还都是可以统计到的数据泄露情况,恐怕只是冰山一角,更多的数据泄露事件并不为人知。在日渐恶劣的数据安全环境下,我们的隐私信息近乎裸奔,是不法分子眼中的待宰羔羊。但我们的隐私信息泄露,到底对我们有什么后果呢?

首先我们要知道,隐私信息有哪些?今时今日,我们对于隐私信息的认识早就不能停留在姓名、身份证号、银行卡号、密码、家庭住址等传统隐私信息的层面上。企业通过各种技术手段把窥探隐私的触角延伸到人们生活的每个角落,通过收集的信息,他们描绘出来一个虚拟的“你”,研究这个虚拟的“你”,他们会比你更懂“你”。你是否会发现淘宝推荐了你刚刚看的吃播带货的食品;网页弹出的广告正好是你刚刚使用百度检索的内容;头条刷出来的都是你最近浏览较多的那一类信息……这就是企业收集你的个人信息数据经过处理和分析之后,作出的“猜你喜欢”的判断。而且随着算力提高和算法的改进,这些推荐会越来越智能,越来越符合你的心意。

举个例子,你拍摄了一张照片要上传到微博上。你会发现微博可以根据你的这种照片,显示出你的位置、你的手机型号。但其实不限于此,你的那张照片里面还有拍摄日期、拍摄设备类型、设备ID、设备操作系统、使用的应用程序、时区、移动运营商、IP地址、硬件版本、软件版本等众多的个人信息。最重要的就是你本人的面部识别信息。这仅仅是一张照片蕴含的信息。如果对一个账号的全部发布信息进行分析,包括点赞评论互动等情况,还可以了解到你的业余爱好、朋友关系,甚至还可以分析出你的教育程度、政治观点、宗教信仰。



大数据分析和应用技术如果说是引擎,那数据就是燃料。燃料越好,引擎可以提供的动力就越充足。这是各个公司都不遗余力地收集信息的根本原因。不管是否可以用得上,但先收集了总没有错。这被称为是“过度收集”。我们被迫接受很多产品的霸王条款一样的隐私协议,不同意就不能使用。要么我们根本就没有发现这些隐私政策。总之,我们同意了这些条款,任由企业们对我们过度收集隐私信息。

收集来的信息内容异常丰富,且都被储存在了企业的中心化服务器中,被用于企业研究我们并且根据研究结果向我们提供更好的服务。但是,如果企业不注意信息的安全性,那就会导致数据泄露的严重后果。而且由于企业收集的信息全面,更方便被人整体打包带走,省却了窃取信息者不少的麻烦。

黑客攻击、内鬼盗取信息和数据库设置错误,是隐私泄露的三大基本原因,也恰恰是企业难以处理的三个问题。经由他们的手,我们的隐私数据变成了一个个数据包,变成了一个个商品,被摆上黑产的货架,成为暗网的畅销品。

数据泄露仅仅是数据黑产链条的上游而已,产业的中游由专门的掮客负责联系买家,在暗网将数据卖出。由于暗网的隐蔽性极强,匿名交易,使用数字货币,成为了完美的交易所。而产业的下游,除了我们认知中的罪犯、黑客这些从事非法行为的人之外,也有政客以及在竞争中超越竞争对手的企业,甚至不乏正规的大数据公司和网络安全科技公司。

千金易得,而优质的大数据难求。通过正规渠道想要获取真实有效的大量数据,只能自己收集。没有公司愿意轻易分享自己的宝贵资源。没有足够能力收集的或是想走捷径的,自然就会打起来暗网上出售的个人数据的心思。罪犯购买的目的无非是从事电信诈骗等犯罪活动,据说全球过半的电信诈骗和钓鱼网站之所以能让受害人毫无防备地落入陷阱都是基于对于暗网数据的分析。在这点上,和政客、企业目的是一致的,通过分析购买的个人信息,对客户进行精准营销,从而取得竞争优势。

至于网络安全科技公司,则是出于查找导致数据泄露的漏洞,完善自己提供的技术的目的。

但不管出于什么目的,通过暗网交易他人个人隐私信息都是非法的行为。每年我国警方查处的数据黑产涉案金额都在百亿以上,因此数据黑产背后牵扯了庞大的利益,而且由于其隐蔽性、分散性等特征,取缔这一个产业目前尚难以做到。

应对之道,保护好你的个人隐私

维护隐私安全,不能只指望大公司们的努力。在搜集信息时候他们不遗余力,把触角伸到你生活的每一个角落里面。但在保护信息方面,攻守之势异也。即使每年大公司付出大量人力物力保护信息,但也未必能起到完全保护信息不泄露的目的。

作为个人,建立起良好的信息安全意识,养成个人信息安全习惯,尤为重要。下面是推荐个人应具备的一些保护个人信息安全的小习惯。

一、密码安全习惯

1、使用复杂密码

简单密码极易被人破解,建议使用英文字母加数字加特殊字符的复杂组合。

2、使用多套密码

不同账户尽量密码不同。撞库的原理就是利用了很多账户都是同一套密码才得以成功。尤其是金融类应用,如果使用同一套密码,一旦被破译,将会面临财产全损的后果

3、定期更换密码

设定密码不是一件一劳永逸的事情,要定期更换密码,增强密码的有效性。

4、设置二级密码或其他验证方式

没有永远不会被破解的密码。但是我们可以再加一道锁,通过邮箱验证或者短信动态密码的方式。

二、联网安全习惯

1、如非必要,尽量禁用浏览器第三方Cookie。

当我们在某些大型网站上搜索一些东西时,在另外的一些网站出现了你搜索的东西的相关广告,这种现象的出现说明我们的隐私已经被泄露。这种侵犯我们用户隐私现象的出现,都是因为第三方Cookie记录了我们的信息。禁用第三方Cookie可以避免我们的隐私泄露。

2、不要随便蹭公共WiFi。

不要轻易连接不确定安全性的公共WIFI ,避免在公共 WIFI 环境下输入或查看个人隐私信息。

连接公共 WIFI 前一定要确定安全性。

对于黑客来说,公共场合的WIFI极容易侵入,通过公共WiFi路由器的数据,都可能在黑客的掌握中。

3、不要扫描不明的二维码。不要随便点进来源不明的链接,

指向不明的二维码和链接,背后可能是木马或者病毒。尤其是短信中的链接、网页弹出的链接、微信群和朋友圈分享的链接,切莫轻易点击。

4、谨慎设置应用权限

重点关注通讯录权限、定位权限、照相机和图片权限。通讯录权限使用不当可能泄露你的人际关系,定位权限使用不当可能泄露你的位置,照相机和图片权限使用不当则可能泄露你的手机照片。

在下载新软件时,注意不要把所有权限全部设置为允许。部分非软件使用必要的,可以暂时不开启。


结语

微博数据泄露事件,再次把个人隐私信息安全的问题暴露在大众面前:数据泄露这把达摩克利斯之剑其实始终没有远去。数据泄露并不可怕,不必草木皆兵。作为个人要学会在日常养成良好的数据保护习惯和安全意识,一旦发现有数据泄露的危险,第一时间选择报警并且尽量将可能卷入的财产转移到安全的地方避免损失扩大。只要数据还有价值,就总会有人铤而走险;只要网络还有漏洞,就总会有人想谋取私利。这场个人信息保卫战,还将一直持续下去。


举报
评论 0