最前哨微博数据疑似大规模走漏用户手机号等信息外流

3月19日上午，有微博名为“安全_云舒”的用户转发微博时称：“许多人的手机号码走漏了，依据微博账号就能查到手机号……现已有人经过微博走漏查到我的手机号码，来加我微信了。”

随后，该网友在微博下的留言中进一步表明，他经过技能查询，发现不少人的手机号已被走漏，傍边触及不少微博认证的明星、官员、企业家。“来总的手机号也被走漏了，我昨夜查过。”（“来总”代指微博CEO 王高飞）

在网友“安全_云舒”的微博主页上，其个人介绍为“默安科技创始人兼 CTO”，原阿里集团安全研讨实验室总监。36 氪向默安科技官方求证，证明以上信息事实，“安全_云舒”确为默安科技CTO 魏兴国，“云舒”是其在阿里巴巴的诨名。

在魏兴国的微博下，仍有网友不断留言称自己疑似遭受了数据走漏，且走漏信息多为手机号，乃至有人发出了疑似微博个人数据的打包售卖截图，标价为1799 元。

随后，有微博认证为“微博安全总监”的网友罗诗尧在微博中回复称：多谢关怀，每隔段时刻就有人在网上卖（数据），每次都会引起一波舆情，本不想回应，这条微博往后还会用得上。

36氪就“数据走漏”一事向微博方面求证，对方表明内部正在了解状况。

关于数据走漏的原因，依据魏兴国在微博上的表述，这次事情或是因为微博在 2019 年被人经过接口“薅走了一些数据”，而不是所谓的“数据拖库”。

所谓数据拖库，是指网站遭到侵略后，黑客盗取数据库并将一切数据信息拿走，归于安全范畴十分严峻的事端。

“像微博这样体量的公司，被黑客大规划侵略的概率不大，它们遭受的应该不是拖库。”一位安全范畴的资深人士告知 36 氪。

上述人士剖析称，呈现这样的数据走漏现象有两种或许，一种是“撞库”，一种是某些事务呈现了“漏水”。

其间，“漏水”是指企业某些非中心事务团队规划小，没有依照一致标准流程建立事务，因而呈现危险，比方没有做好要害数据阻隔、没有做好权限分层管控、没有做好数据加密存储等。

而“撞库”则是暗盘倒卖数据的一种惯用手法。许多人喜爱将不同网站的暗码设置为同一个，一旦你在某个网络安全才能较弱的网站暗码被黑客获取，黑客就能够用该暗码循环测验其他网站，这种手法就叫“撞库”。

“个人隐私信息数据走漏大多是在应用层/事务这一头走漏的，一个是内部的许多需求事务上触摸数据的事务类职工，一个是对外揭露的接口或对合作伙伴的接口。”另一位国内网络安全专家进一步向 36 氪表明，他从另一种视点阐明晰这次事端发生的或许性：

这次微博个人隐私信息数据走漏，最或许的原因是通讯录老友匹配进犯导致的。许多交际app都有经过通讯录匹配老友的功用。进犯者能够假造本地通讯录来取得手机号到微博用户账号的相关。比方先假造通讯录有xxxx00001到xxxx010000手机号匹配老友，再假造xxxx010001到xxxx020000手机号匹配老友，不断罗列，就能相关出微博id到手机号的联系。

“主张大公司尽量封闭通讯录匹配功用，假如敞开，有必要对此接口进行各种数据走漏监测和流控/风控办法。”上述人士对 36 氪谈到。

数据走漏已成为互联网职业典型故事之一。上一年11月，Twitter就呈现过使用通讯录匹配功用取得百万推特用户账号和手机号的数据走漏事情，随后 Facebook封闭了这一功用。而国内闻名的一次数据走漏数据当属 2011 年的“CSDN 百万用户个人信息外泄”。当年有黑客在网上揭露了闻名程序员网站CSDN的用户数据库，高达600多万个明文的邮箱账号和暗码遭到外泄。

封面图源：pexels