微博數據疑似大規(guī)模泄露是怎么回事 官方回應：不涉及身份證和密碼

　　36氪就“數據泄露”一事向微博方面求證，微博官方回復稱：

　　1.微博一直提供根據通訊錄手機號查詢微博好友昵稱的服務，用戶授權后可以使用該服務。但微博不提供用戶性別和身份證號等信息，也沒有“根據用戶昵稱查手機號”的服務。

　　2.2018年底，有用戶通過微博相關接口通過批量手機批量上傳通訊錄，匹配出幾百萬個賬號昵稱，再加上通過其他渠道獲取的信息一起對外出售。此次非法調用微博接口匹配出的信息為微博賬號昵稱，不涉及身份證、密碼，對微博服務沒有影響。

　　3.發(fā)現異常后，我們及時加強了安全策略，今后還將不斷強化。

　　對于數據泄露的原因，根據魏興國在微博上的表述，這次事件或是由于微博在2019年被人通過接口“薅走了一些數據”，而不是所謂的“數據拖庫”。

　　所謂數據拖庫，是指網站遭到入侵后，黑客竊取數據庫并將所有數據信息拿走，屬于安全領域非常嚴重的事故。

　　“像微博這樣體量的公司，被黑客大規(guī)模入侵的概率不大，它們遭遇的應該不是拖庫。”一位安全領域的資深人士告訴36氪。

　　上述人士分析稱，出現這樣的數據泄露現象有兩種可能，一種是“撞庫”，一種是某些業(yè)務出現了“漏水”。

　　其中，“漏水”是指企業(yè)某些非核心業(yè)務團隊規(guī)模小，沒有按照統(tǒng)一規(guī)范流程搭建業(yè)務，因此出現風險，比如沒有做好關鍵數據隔離、沒有做好權限分層管控、沒有做好數據加密存儲等。

　　而“撞庫”則是黑市倒賣數據的一種慣用手段。很多人喜歡將不同網站的密碼設置為同一個，一旦你在某個網絡安全能力較弱的網站密碼被黑客獲取，黑客就可以用該密碼循環(huán)測試其他網站，這種手段就叫“撞庫”。

　　“個人信息數據泄漏大多是在應用層/業(yè)務這一頭泄漏的，一個是內部的大量需要業(yè)務上接觸數據的業(yè)務類員工，一個是對外公開的接口或對合作伙伴的接口。”另一位國內網絡安全專家進一步向36氪表示，他從另一種角度闡明了這次事故產生的可能性：

　　這次微博個人信息數據泄漏，最可能的原因是通訊錄好友匹配攻擊導致的。很多社交app都有通過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶賬號的關聯(lián)。比如先偽造通訊錄有xxxx00001到xxxx010000手機號匹配好友，再偽造xxxx010001到xxxx020000手機號匹配好友，不斷列舉，就能關聯(lián)出微博id到手機號的關系。

　　“建議大公司盡量關閉通訊錄匹配功能，如果開啟，必須對此接口進行各種數據泄漏監(jiān)測和流控/風控措施。”上述人士對36氪談到。

　　數據泄露已成為互聯(lián)網行業(yè)典型故事之一。去年11月，Twitter就出現過利用通訊錄匹配功能獲得百萬推特用戶賬號和手機號的數據泄漏事件，隨后 Facebook關閉了這一功能。而國內知名的一次數據泄露數據當屬2011年的“CSDN 百萬用戶信息***”。當年有黑客在網上公開了知名程序員網站CSDN的用戶數據庫，高達600多萬個明文的郵箱賬號和密碼遭到***。