微博回应“数据泄露”事件:非微博端泄露 不涉及身份证、密码

作者:深圳市网安计算机安全检测技术有限公司 | 国内 2020/03/20 18:52:22 156
文章来源:https://www.cnbeta.com/articles/tech/957479.htm


3月19日消息,微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”在其微博下,有不少网友留言表示自己也疑似遭遇了数据泄露。

更有用户表示,发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。

经查证,在“安全_云舒”的用户主页上,目前已经找不到上图微博内容,只留有昨晚其转发的一条微博表示:“btw,我只是说数据泄露,没说是脱裤哈。看来2019年是通过接口被人薅走了一些数据”。

对此,微博安全总监罗诗尧回应称:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”

罗诗尧表示:“19年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”

“安全_云舒”用户的微博认证为“默安科技创始人兼CTO,原阿里集团安全研究实验室总监”。天眼查显示,默安科技成立于2016年4月,CEO聂万泉为原阿里云平台安全总监,COO汪利辉为前阿里巴巴安全应急响应中心负责人。该公司于去年12月11日,完成了由琥珀资本领投的近2亿元B轮融资。

针对“数据泄露”事件,微博方面向搜狐科技回应称,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务,但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。

微博表示,2018年底,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。“发现异常后,我们及时加强了安全策略,今后还将不断强化。”

推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室