近期,微博发生用户数据泄露事件,引发监管层问询约谈。新京报记者调查发现,实际上,被泄露的不止微博用户数据,在黑灰产交易平台上还可以查询到QQ、贴吧甚至LOL游戏账号的用户数据信息。“人肉搜索”已经成为了一门灰色生意,花250元甚至可以根据名字查到你的户口簿信息。
新京报记者发现,根据平台、卖家不同,“人肉搜索”的种类、价格也从数百元到数千元不等,而这些信息均来自于黑灰产人士用于储备个人信息的“社工库”。
“社工库是长期存在于黑市里的数据,来源很广泛,有各种信息泄露事件中积累的个人信息,也有从爬虫网络上找得到的一些其他信息。社工库及人肉搜索行为触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。但对其的打击难点在于,这些库很多都是历史信息,已经流转多次,很难追寻源头并封堵。”3月27日,梆梆安全高级咨询专家贝松涛对新京报记者表示。
数据从何处泄露?
微博:手机号码不来源于微博 专家:泄露来自社工库
3月19日,微博被曝发生数据泄露。默安科技CTO魏兴国发布一条微博(目前已删除)称,通过技术查询发现不少人手机号已经泄露。3月20日,新京报记者调查发现,在多个网络平台上确实出现了相关的数据买卖,只要缴费即可通过微博账号查询到用户的手机号码及其他更详细个人私密信息。
对于这次用户数据泄露,微博方面对新京报记者表示,外部流传的“微博用户资料库”中的手机号码并不来源于微博,而是黑客从其他渠道非法获取,再通过微博相关接口批量上传手机通讯录匹配账号昵称。黑客同时利用非法获取的手机号在其他渠道获取信息,组成所谓的“微博用户资料库”对外出售。
3月24日,工信部在官网发布消息称,针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。并要求微博尽快完善隐私政策,规范用户个人信息收集使用行为,强化用户查询接口风险控制等安全保护策略等。
新京报记者注意到,工信部与微博都提到了“接口”。那么,什么是“接口”?其在此次信息泄露中起到了什么作用呢?
贝松涛表示,App的用户查询接口指的是一个应用系统可能开放了某个API(应用程序接口),来做个人信息的查询,这种API很关键,需要加强安全保护。对发起的请求方做身份验证,IP地址鉴别、证书校验都是可选的安全方式。
熟悉黑产运作方式的人士李环(化名)告诉记者,使用App账号反查用户身份的一个关键环节是,取得账号与注册手机号的对应关系,此后再通过手机号与身份证的对应关系确定用户身份,其中,手机号与身份的对应关系并非App泄露,但账号与手机号的对应关系极有可能是通过App开放的接口获得。
李环举例称,此前微博与脉脉就曾因接口问题“闹崩”:脉脉在和微博合作期间,脉脉用户可以在该App的“一度人脉”功能中直接看到非脉脉用户的微博头像和名称,这正是微博向脉脉开放了其API接口。后来微博提起诉讼,认为脉脉存在非法抓取、使用微博用户信息,非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系等行为,双方对簿公堂,最终微博方面胜诉。
此外,新京报记者发现包括微博在内,不少App都会要求用户开启通讯录权限。对此,贝松涛表示,开启通信录权限只是获取用户的联系人信息,和账号与手机号对应本身没有必然关系。但是通过获取联系人信息,得到了手机号和姓名的对应,黑客再根据姓名-账号库就可以把这些信息关联起来。“所以获取通讯录权限可能会助涨这样的泄露事件发生。”
有安全人士称,此次微博数据泄露事件与用户通讯录权限的关系不大,用户手机号与用户真实身份的联系并非从微博泄露,而是来源于已有的“社工库”,真正需要微博负责的可能就是其对接口的安全保护策略。
在被工信部约谈后,微博表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
贝松涛表示,账号和手机号的对应关系,可以由任何一次信息泄露事件引发,例如过去发生过的华住泄露事件。而一个人通常都是用同样的账号和手机号来注册多个信息系统。
(转自:新京报)
新京报记者发现,根据平台、卖家不同,“人肉搜索”的种类、价格也从数百元到数千元不等,而这些信息均来自于黑灰产人士用于储备个人信息的“社工库”。
“社工库是长期存在于黑市里的数据,来源很广泛,有各种信息泄露事件中积累的个人信息,也有从爬虫网络上找得到的一些其他信息。社工库及人肉搜索行为触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。但对其的打击难点在于,这些库很多都是历史信息,已经流转多次,很难追寻源头并封堵。”3月27日,梆梆安全高级咨询专家贝松涛对新京报记者表示。
数据从何处泄露?
微博:手机号码不来源于微博 专家:泄露来自社工库
3月19日,微博被曝发生数据泄露。默安科技CTO魏兴国发布一条微博(目前已删除)称,通过技术查询发现不少人手机号已经泄露。3月20日,新京报记者调查发现,在多个网络平台上确实出现了相关的数据买卖,只要缴费即可通过微博账号查询到用户的手机号码及其他更详细个人私密信息。
对于这次用户数据泄露,微博方面对新京报记者表示,外部流传的“微博用户资料库”中的手机号码并不来源于微博,而是黑客从其他渠道非法获取,再通过微博相关接口批量上传手机通讯录匹配账号昵称。黑客同时利用非法获取的手机号在其他渠道获取信息,组成所谓的“微博用户资料库”对外出售。
3月24日,工信部在官网发布消息称,针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。并要求微博尽快完善隐私政策,规范用户个人信息收集使用行为,强化用户查询接口风险控制等安全保护策略等。
新京报记者注意到,工信部与微博都提到了“接口”。那么,什么是“接口”?其在此次信息泄露中起到了什么作用呢?
贝松涛表示,App的用户查询接口指的是一个应用系统可能开放了某个API(应用程序接口),来做个人信息的查询,这种API很关键,需要加强安全保护。对发起的请求方做身份验证,IP地址鉴别、证书校验都是可选的安全方式。
熟悉黑产运作方式的人士李环(化名)告诉记者,使用App账号反查用户身份的一个关键环节是,取得账号与注册手机号的对应关系,此后再通过手机号与身份证的对应关系确定用户身份,其中,手机号与身份的对应关系并非App泄露,但账号与手机号的对应关系极有可能是通过App开放的接口获得。
李环举例称,此前微博与脉脉就曾因接口问题“闹崩”:脉脉在和微博合作期间,脉脉用户可以在该App的“一度人脉”功能中直接看到非脉脉用户的微博头像和名称,这正是微博向脉脉开放了其API接口。后来微博提起诉讼,认为脉脉存在非法抓取、使用微博用户信息,非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系等行为,双方对簿公堂,最终微博方面胜诉。
此外,新京报记者发现包括微博在内,不少App都会要求用户开启通讯录权限。对此,贝松涛表示,开启通信录权限只是获取用户的联系人信息,和账号与手机号对应本身没有必然关系。但是通过获取联系人信息,得到了手机号和姓名的对应,黑客再根据姓名-账号库就可以把这些信息关联起来。“所以获取通讯录权限可能会助涨这样的泄露事件发生。”
有安全人士称,此次微博数据泄露事件与用户通讯录权限的关系不大,用户手机号与用户真实身份的联系并非从微博泄露,而是来源于已有的“社工库”,真正需要微博负责的可能就是其对接口的安全保护策略。
在被工信部约谈后,微博表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
贝松涛表示,账号和手机号的对应关系,可以由任何一次信息泄露事件引发,例如过去发生过的华住泄露事件。而一个人通常都是用同样的账号和手机号来注册多个信息系统。
(转自:新京报)
详细信息
