作者:万佳
来源:
区块链前哨
这次数据泄露或是由于微博在2019年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。
近日,有用户发现5.38亿条微博用户信息在暗网出售,其中1.72亿有账号基本信息。全部数据售价0.177比特币,折合成人民币约为7350元。据悉,涉及到的账号信息包括用户ID、微博数、粉丝数、关注数、性别、地理位置等。
3月19日,微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号......已经有人通过微博泄露查到我的手机号码,来加我微信了。”
基于Ordinals协议开发的比特币.sats域名已铸造超5.3万枚:3月7日消息,据Dune Analytics数据显示,基于Ordinals协议开发的比特币.sats域名已铸造超5.3万枚,去重之后的独立域名数达到4.2万个,独立铸造地址接近2.4万个,产生了1.05亿枚SATS(约合2.3万美元)的费用。Sats Names是使用序数将名称写入比特币的标准,目标是为比特币建立一个域名生态系统,首个域名“helloworld.sats”的注册时间为2023年2月22日。[2023/3/7 12:47:13]
在其微博留言中,多名微博网友确认手机号泄露。有一名网友留言,“刚刚查了下我的,确实泄露了,电话号码、身份证、物理地址都正确。”
除了网友手机号,“包括明星、企业家、公务员等人在内”的手机号都被泄露。
以太坊L2网络总锁仓量为55.3亿美元:金色财经报道,L2BEAT数据显示,截至2月3日,以太坊Layer2上总锁仓量为55.3亿美元。其中锁仓量最高的为扩容方案Arbitrum,约28亿美元,占比50.65%;其次是dYdX,锁仓量为9.64亿美元,占比17.43%;第三为Metis Andromeda,锁仓量为4.66亿美元,占比8.43%[2022/2/3 9:29:36]
据悉,“安全_云舒”微博的个人主页显示,他是默安科技创始人兼CTO,原阿里集团安全研究实验室总监。根据36氪的求证,这名网友为默安科技CTO魏兴国。
截至笔者撰文时,“安全_云舒”发布的2条相关微博已经删除。
1微博回应
针对本次数据泄露事件,微博认证“微博安全总监”的网友罗诗尧在微博中回复称:多谢关心,每隔段时间就有人在网上卖,每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。
至于本次数据泄露的原因,安全_云舒称,这次数据泄露或是由于微博在2019年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。
而罗诗尧回应,“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”
BTC跌破17800美元关口 日内跌幅为5.37%:火币全球站数据显示,BTC短线下跌,跌破17800美元关口,现报17797.67美元,日内跌幅达到5.37%,行情波动较大,请做好风险控制。[2020/12/9 14:42:36]
他还表示,“19年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”
微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务,但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。2018年底,有用户利用微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。“发现异常后,我们及时加强了安全策略,今后还将不断强化。”
近1亿枚USDT从Bitfinex交易所转入Huobi交易所,价值9995.3万美元:据Whale Alert数据显示,北京时间11月02日22:32,近1亿枚USDT从Bitfinex交易所转入Huobi交易所,按当前价格计算,价值约9995.3万美元,交易哈希为:0x8a1dac220b631a830dce3516c4629979f5bc02b19a2ed9c6b6be4f5aad5d8261。[2020/11/2 11:28:21]
对于本次数据泄露事件,一名业内安全专家向笔者表示,“对于微博的数据泄露,第一不能轻视,第二也不用太夸大,因为这是我们每年许多数据泄露事件中的一起。现在,随着所有互联网公司都在做数字化转型,其实每一个企业都掌握了大量客户信息。这些信息如果保护不到位的话,都会出现数据泄露。”
“无论是物理世界,还是数字世界,它都不是100%的安全,一定会有各种各样的风险。数据泄露,其实是数字化世界中非常普遍、需要重视的安全风险之一。”
2原因分析
在今天的互联网上,数据泄露层出不穷。在《2019年数据泄露全年盘点》中,笔者从公开渠道统计出数据泄露事件一共有43件,涉及各行各业。
BTC预计8小时后挖矿难度上调15.34%至15.84T:金色财经报道,据BTC.com数据显示,当前BTC全网算力为112.09EH/s,目前比特币未确认交易笔数为275笔。当前比特币挖矿难度为13.73T,距离难度调整还有8小时,预计下次难度上调至15.84T,上升15.34%。[2020/6/16]
左耳朵耗子在极客时间的《从Equifax信息泄露看数据安全》中指出了数据泄露发生的原因:
利用程序框架或库的已知漏洞。比如,美国征信机构Equifax发生的1.45亿用户数据泄露,就是利用ApacheStruts的已知漏洞;
暴力破解密码。攻击者利用密码字典库或是已经泄露的密码来“撞库”;
代码注入。通过程序员代码的安全性问题,如SQL注入、XSS攻击、CSRF攻击等取得用户的权限;
利用程序日志不小心泄露的信息;
社会工程学
此外,他还阐述了因数据管理问题而发生的数据泄露,比如只有一层安全、弱密码、向公网暴露了内部系统、安全日志被暴露、保存了不必要保存的数据和密码没有被合理地散列等。
具体到本次微博的数据泄露,这名资深安全人士指出,根据目前披露的一些信息,在很多社交平台,它都有根据用户通讯录去查找好友的功能。以微博为例,用户注册登录后,它会询问你是否要匹配通讯录中的好友。“除了微博,拼多多、京东、抖音都有类似的功能”。
这名资深安全人士说,“微博的数据泄露,很大概率可能是黑灰产的攻击者利用接口的业务功能考虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成。”
黑产或灰产会利用手中工具在本地生成大量连续的手机号,利用微博的接口,去匹配微博上面的账号。通过这种方式,它可以生成你的微博和手机信息的绑定,利用这种绑定去准确定位你的微博。“有了手机号后,可以去匹配一些其他的信息,找到你的QQ号、身份证号码等。匹配到一些信息后,它还可能拿到你的账户密码,然后撞库找到其他信息。”他说。
简言之,利用微博,定位到个人、手机号、微博ID和QQ号。拿到手机号和QQ后,再去获取身份证信息、密码信息等。
32个小建议,让你的数据更安全
对网友而言,我们虽然是个人信息数据的拥有者,但不是数据的控制者。“当我们把信息委托给某一个平台,那我们其实将主动权交给了对方。”
作为一个普通人,我们可以采取一些举措去有效地保护个人数据:
在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦点,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;
重要信息分类使用。当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。
4专家支3招,企业防泄露
无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。
对企业或组织机构而言,它们对数据泄露应采取积极主动的态度,避免数据泄露事件发生。
有安全专家给出了3条建议:
1、完善数据安全防护手段
当前,企业对数据安全主要采取防范计算机病、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。
敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
2、建立可落地的行业性数据安全规范和企业数据安全管理制度
最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。
虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。
这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”
3、提高安全意识,增加对内部数据泄露风险的防护
目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。
调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。
因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。