微博數(shù)據(jù)疑似大規(guī)模泄露是怎么回事 官方回應(yīng)：不涉及身份證和密碼

　　36氪就“數(shù)據(jù)泄露”一事向微博方面求證，微博官方回復(fù)稱：

　　1.微博一直提供根據(jù)通訊錄手機(jī)號(hào)查詢微博好友昵稱的服務(wù)，用戶授權(quán)后可以使用該服務(wù)。但微博不提供用戶性別和身份證號(hào)等信息，也沒(méi)有“根據(jù)用戶昵稱查手機(jī)號(hào)”的服務(wù)。

　　2.2018年底，有用戶通過(guò)微博相關(guān)接口通過(guò)批量手機(jī)批量上傳通訊錄，匹配出幾百萬(wàn)個(gè)賬號(hào)昵稱，再加上通過(guò)其他渠道獲取的信息一起對(duì)外出售。此次非法調(diào)用微博接口匹配出的信息為微博賬號(hào)昵稱，不涉及身份證、密碼，對(duì)微博服務(wù)沒(méi)有影響。

　　3.發(fā)現(xiàn)異常后，我們及時(shí)加強(qiáng)了安全策略，今后還將不斷強(qiáng)化。

　　對(duì)于數(shù)據(jù)泄露的原因，根據(jù)魏興國(guó)在微博上的表述，這次事件或是由于微博在2019年被人通過(guò)接口“薅走了一些數(shù)據(jù)”，而不是所謂的“數(shù)據(jù)拖庫(kù)”。

　　所謂數(shù)據(jù)拖庫(kù)，是指網(wǎng)站遭到入侵后，黑客竊取數(shù)據(jù)庫(kù)并將所有數(shù)據(jù)信息拿走，屬于安全領(lǐng)域非常嚴(yán)重的事故。

　　“像微博這樣體量的公司，被黑客大規(guī)模入侵的概率不大，它們?cè)庥龅膽?yīng)該不是拖庫(kù)。”一位安全領(lǐng)域的資深人士告訴36氪。

　　上述人士分析稱，出現(xiàn)這樣的數(shù)據(jù)泄露現(xiàn)象有兩種可能，一種是“撞庫(kù)”，一種是某些業(yè)務(wù)出現(xiàn)了“漏水”。

　　其中，“漏水”是指企業(yè)某些非核心業(yè)務(wù)團(tuán)隊(duì)規(guī)模小，沒(méi)有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù)，因此出現(xiàn)風(fēng)險(xiǎn)，比如沒(méi)有做好關(guān)鍵數(shù)據(jù)隔離、沒(méi)有做好權(quán)限分層管控、沒(méi)有做好數(shù)據(jù)加密存儲(chǔ)等。

　　而“撞庫(kù)”則是黑市倒賣數(shù)據(jù)的一種慣用手段。很多人喜歡將不同網(wǎng)站的密碼設(shè)置為同一個(gè)，一旦你在某個(gè)網(wǎng)絡(luò)安全能力較弱的網(wǎng)站密碼被黑客獲取，黑客就可以用該密碼循環(huán)測(cè)試其他網(wǎng)站，這種手段就叫“撞庫(kù)”。

　　“個(gè)人信息數(shù)據(jù)泄漏大多是在應(yīng)用層/業(yè)務(wù)這一頭泄漏的，一個(gè)是內(nèi)部的大量需要業(yè)務(wù)上接觸數(shù)據(jù)的業(yè)務(wù)類員工，一個(gè)是對(duì)外公開(kāi)的接口或?qū)�合作伙伴的接口�?rdquo;另一位國(guó)內(nèi)網(wǎng)絡(luò)安全專家進(jìn)一步向36氪表示，他從另一種角度闡明了這次事故產(chǎn)生的可能性：

　　這次微博個(gè)人信息數(shù)據(jù)泄漏，最可能的原因是通訊錄好友匹配攻擊導(dǎo)致的。很多社交app都有通過(guò)通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來(lái)獲得手機(jī)號(hào)到微博用戶賬號(hào)的關(guān)聯(lián)。比如先偽造通訊錄有xxxx00001到xxxx010000手機(jī)號(hào)匹配好友，再偽造xxxx010001到xxxx020000手機(jī)號(hào)匹配好友，不斷列舉，就能關(guān)聯(lián)出微博id到手機(jī)號(hào)的關(guān)系。

　　“建議大公司盡量關(guān)閉通訊錄匹配功能，如果開(kāi)啟，必須對(duì)此接口進(jìn)行各種數(shù)據(jù)泄漏監(jiān)測(cè)和流控/風(fēng)控措施。”上述人士對(duì)36氪談到。

　　數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)行業(yè)典型故事之一。去年11月，Twitter就出現(xiàn)過(guò)利用通訊錄匹配功能獲得百萬(wàn)推特用戶賬號(hào)和手機(jī)號(hào)的數(shù)據(jù)泄漏事件，隨后 Facebook關(guān)閉了這一功能。而國(guó)內(nèi)知名的一次數(shù)據(jù)泄露數(shù)據(jù)當(dāng)屬2011年的“CSDN 百萬(wàn)用戶信息***”。當(dāng)年有黑客在網(wǎng)上公開(kāi)了知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫(kù)，高達(dá)600多萬(wàn)個(gè)明文的郵箱賬號(hào)和密碼遭到***。