微博 5.38 億隱私數據泄露，國際暗網交易普通查詢約 10 元一次

因數據撞庫或漏水，微博 5.38 億隱私數據泄露

3 月 19 日，默安科技創始人兼 CTO，原阿里集團安全研究實驗室總監 @安全_雲舒 轉發微博（該微博目前已刪除）稱：「不少人的手機號碼泄露了，根據微博帳號就能查到手機號……已經有人經過微博泄露查到個人手機號碼，來加我微信了。」

隨後，他表示經過技術查詢，發現很多人的手機號已被泄露，當中涉及很多微博認證的明星、官員、企業家。「來總(微博CEO 王高飛)的手機號也被泄露了，我昨晚查過。」

很快，微博官方作出迴應——這應該是此前出現了數據「撞庫」或「漏水」現象，泄漏的手機號是 19 年經過通信錄上傳接口被暴力匹配的，其他公開信息都是網上抓來的，並表示這起數據泄露不涉及身份證、密碼，對微博服務沒有影響。

不少社交 app 都有經過通信錄匹配好友的功能。攻擊者能夠僞造本地通信錄來得到手機號到微博用戶帳號的關聯。好比先僞造通信錄有 xxxx00001 到 xxxx010000 手機號匹配好友，再僞造 xxxx010001 到 xxxx020000 手機號匹配好友，不斷列舉，就能關聯出微博 id 到手機號的關係。

根據上述表述，此次事件或是因爲微博在 2019 年被人經過接口「薅走了一些數據」，而不是所謂的「數據脫庫」。

數據脫庫，是指網站遭到入侵後，黑客竊取數據庫並將全部數據信息拿走，屬於安全領域很是嚴重的事故。

「漏水」是指企業某些非核心業務團隊規模小，沒有按照統一規範流程搭建業務，所以出現風險，好比沒有作好關鍵數據隔離、沒有作好權限分層管控、沒有作好數據加密存儲等。

而「撞庫」則是黑市倒賣數據的一種慣用手段。黑客經過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登錄其餘網站後，獲得一系列能夠登陸的用戶。不少用戶在不一樣網站使用的是相同的賬號密碼，所以黑客能夠經過獲取用戶在 A 網站的帳戶從而嘗試登陸 B 網站，這就能夠理解爲撞庫攻擊。

國際暗網交易普通查詢約 10 元一次

現在 5.38 億條微博用戶信息在暗網出售，其中，1.72 億條有帳戶基本信息，售價 0.177 比特幣。涉及到的帳號信息包括用戶 ID、帳號發佈的微博數、粉絲數、關注數、性別、地理位置等。有用戶在 Telegram 上經過交易，已經買到了本身微博綁定的主要信息，包括帳號身份證號、密碼、手機號等等。

交易大概流程爲加入 Telegram，找到售賣機器人，機器人分享報價和交易方式，選擇交易，機器人給出比特幣 / ETH 數字貨幣地址，「打款」後機器人爲電報帳號充值積分，利用積分查詢。可查詢到的信息包括真實姓名、老密信息（密碼）、姓名、手機、郵箱、微博帳號、微博綁定手機、QQ關聯帳號、QQ密碼等，普通查詢約等於人民幣 10 元一次。

數據泄露已成爲互聯網行業典型故事之一。去年 11 月，Twitter(TWTR.US) 就出現過利用通信錄匹配功能得到百萬推特用戶帳號和手機號的數據泄漏事件，隨後 Facebook(FB.US) 關閉了這一功能。而此前國內最知名的一次數據泄露事件當屬 2011 年 CSDN 百萬用戶信息外泄。CSDN 明文保存用戶郵箱帳號和密碼，致使高達 600 多萬個明文的郵箱帳號和密碼遭到外泄，被黑客在網上公開。

SF小姐姐舒適提示：切勿在多個網站設置相同密碼，但願各大社交媒體平臺也能夠規範管理，作好關鍵數據隔離、權限分層管控和數據加密存儲。