微博數(shù)據(jù)疑泄露怎么回事？微博泄露了哪些數(shù)據(jù)如何泄露的

3月19日上午，有微博名為“安全_云舒”的用戶(hù)轉(zhuǎn)發(fā)微博時(shí)稱(chēng)：“很多人的手機(jī)號(hào)碼泄露了，根據(jù)微博(WB.US)賬號(hào)就能查到手機(jī)號(hào)……已經(jīng)有人通過(guò)微博泄露查到我的手機(jī)號(hào)碼，來(lái)加我微信了。”

隨后，該網(wǎng)友在微博下的留言中進(jìn)一步表示，他通過(guò)技術(shù)查詢(xún)，發(fā)現(xiàn)不少人的手機(jī)號(hào)已被泄露，當(dāng)中涉及不少微博認(rèn)證的明星、官員、企業(yè)家。“來(lái)總的手機(jī)號(hào)也被泄露了，我昨晚查過(guò)。”(“來(lái)總”代指微博CEO 王高飛)

在網(wǎng)友“安全_云舒”的微博主頁(yè)上，其個(gè)人介紹為“默安科技創(chuàng)始人兼 CTO”，原阿里集團(tuán)安全研究實(shí)驗(yàn)室總監(jiān)。36 氪向默安科技官方求證，證明以上信息屬實(shí)，“安全_云舒”確為默安科技CTO 魏興國(guó)，“云舒”是其在阿里巴巴的花名。

在魏興國(guó)的微博下，仍有網(wǎng)友不斷留言稱(chēng)自己疑似遭遇了數(shù)據(jù)泄露，且泄露信息多為手機(jī)號(hào)，甚至有人發(fā)出了疑似微博個(gè)人數(shù)據(jù)的打包售賣(mài)截圖，標(biāo)價(jià)為1799 元。

隨后，有微博認(rèn)證為“微博安全總監(jiān)”的網(wǎng)友羅詩(shī)堯在微博中回復(fù)稱(chēng)：多謝關(guān)心，每隔段時(shí)間就有人在網(wǎng)上賣(mài)(數(shù)據(jù))，每次都會(huì)引起一波輿情，本不想回應(yīng)，這條微博今后還會(huì)用得上。

36氪就“數(shù)據(jù)泄露”一事向微博方面求證，對(duì)方表示內(nèi)部正在了解情況。

對(duì)于數(shù)據(jù)泄露的原因，根據(jù)魏興國(guó)在微博上的表述，這次事件或是由于微博在 2019 年被人通過(guò)接口“薅走了一些數(shù)據(jù)”，而不是所謂的“數(shù)據(jù)脫庫(kù)”。

所謂數(shù)據(jù)脫庫(kù)，是指網(wǎng)站遭到入侵后，黑客竊取數(shù)據(jù)庫(kù)并將所有數(shù)據(jù)信息拿走，屬于安全領(lǐng)域非常嚴(yán)重的事故。

“像微博這樣體量的公司，被黑客大規(guī)模入侵的概率不大，它們?cè)庥龅膽?yīng)該不是脫庫(kù)。”一位安全領(lǐng)域的資深人士告訴 36 氪。

上述人士分析稱(chēng)，出現(xiàn)這樣的數(shù)據(jù)泄露現(xiàn)象有兩種可能，一種是“撞庫(kù)”，一種是某些業(yè)務(wù)出現(xiàn)了“漏水”。

其中，“漏水”是指企業(yè)某些非核心業(yè)務(wù)團(tuán)隊(duì)規(guī)模小，沒(méi)有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù)，因此出現(xiàn)風(fēng)險(xiǎn)，比如沒(méi)有做好關(guān)鍵數(shù)據(jù)隔離、沒(méi)有做好權(quán)限分層管控、沒(méi)有做好數(shù)據(jù)加密存儲(chǔ)等。

而“撞庫(kù)”則是黑市倒賣(mài)數(shù)據(jù)的一種慣用手段。很多人喜歡將不同網(wǎng)站的密碼設(shè)置為同一個(gè)，一旦你在某個(gè)網(wǎng)絡(luò)安全能力較弱的網(wǎng)站密碼被黑客獲取，黑客就可以用該密碼循環(huán)測(cè)試其他網(wǎng)站，這種手段就叫“撞庫(kù)”。

“個(gè)人信息數(shù)據(jù)泄漏大多是在應(yīng)用層/業(yè)務(wù)這一頭泄漏的，一個(gè)是內(nèi)部的大量需要業(yè)務(wù)上接觸數(shù)據(jù)的業(yè)務(wù)類(lèi)員工，一個(gè)是對(duì)外公開(kāi)的接口或?qū)献骰锇榈慕涌凇?rdquo;另一位國(guó)內(nèi)網(wǎng)絡(luò)安全專(zhuān)家進(jìn)一步向 36 氪表示，他從另一種角度闡明了這次事故產(chǎn)生的可能性：

這次微博個(gè)人信息數(shù)據(jù)泄漏，最可能的原因是通訊錄好友匹配攻擊導(dǎo)致的。很多社交app都有通過(guò)通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來(lái)獲得手機(jī)號(hào)到微博用戶(hù)賬號(hào)的關(guān)聯(lián)。比如先偽造通訊錄有xxxx00001到xxxx010000手機(jī)號(hào)匹配好友，再偽造xxxx010001到xxxx020000手機(jī)號(hào)匹配好友，不斷列舉，就能關(guān)聯(lián)出微博id到手機(jī)號(hào)的關(guān)系。

“建議大公司盡量關(guān)閉通訊錄匹配功能，如果開(kāi)啟，必須對(duì)此接口進(jìn)行各種數(shù)據(jù)泄漏監(jiān)測(cè)和流控/風(fēng)控措施。”上述人士對(duì) 36 氪談到。

數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)行業(yè)典型故事之一。去年11月，Twitter(TWTR.US)就出現(xiàn)過(guò)利用通訊錄匹配功能獲得百萬(wàn)推特用戶(hù)賬號(hào)和手機(jī)號(hào)的數(shù)據(jù)泄漏事件，隨后 Facebook(FB.US)關(guān)閉了這一功能。而國(guó)內(nèi)知名的一次數(shù)據(jù)泄露數(shù)據(jù)當(dāng)屬 2011 年的“CSDN 百萬(wàn)用戶(hù)信息外泄”。當(dāng)年有黑客在網(wǎng)上公開(kāi)了知名程序員網(wǎng)站CSDN的用戶(hù)數(shù)據(jù)庫(kù)，高達(dá)600多萬(wàn)個(gè)明文的郵箱賬號(hào)和密碼遭到外泄。