江苏龙网

  1. 首页 > 资讯 > 财经 > >

『用户』5亿微博用户数据泄露?暗网无人交易,专家建议用户勤改密码( 二 )


新浪微博方面人士告诉澎湃新闻,并非微博泄露数据,而是灰产非法窃取手机号后,又非法调用了微博数据 。“理论上,如果你知道一个手机号,也可以通过查找功能,找到这个人的微信和QQ号,但不能说是微信和QQ泄露了他的手机号,在这件事上,微博也是受害者 。”
据了解,在2018年底,曾有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售 。
对此,极棒实验室安全研究员宋宇昊告诉澎湃新闻采访人员,如果按照微博所述,黑产是通过大数据的方式,将不同渠道泄露的信息关联汇总,那么微博的失责在于泄露了昵称与手机号的关联,导致黑产拿到这些信息后,进一步关联到其他渠道泄露的隐私信息,这完全是在微博的控制范围以外了 。“需要提醒的是,对于平台来说,需要严格保护好用户隐私,即使昵称手机号关联不算很敏感的个人信息,在泄露后通过黑产大数据也会导致严重的后果 。”宋宇昊说 。
上述不愿具名的金融业安全工程师也告诉澎湃新闻采访人员,虽然目前尚不能确定微博是隐私数据泄露源,但确实没有保护好用户数据 。
“道理很简单,有人拿少量的手机号码来匹配微博昵称,你可以说自己是受害者,但当别人用上百万、千万的手机号码来匹配昵称,如此令人吃惊的数量级,难道微博的风控没有发现 。”这位金融业工程师告诉采访人员,最终受害者还是普通用户 。
安全专家建议:勤修改密码,为自己的账户分等级
据悉,在工信部对新浪微博相关负责人的问询约谈中,工信部要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患:
一是要尽快完善隐私政策,规范用户个人信息收集使用行为;
二是要加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;
三是要加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;
四是要在发生重大数据安全事件时,及时告知用户并向主管部门报告 。
对于微博账户的密码是否也会被泄露?
新浪微博在3月21的回复中进一步表示,微博不存储用户明文密码,而是采取单向加密存储,用户密码并不会泄露 。但是,当前安全形势严峻,依然有部分用户使用和其他平台相同账号密码,可能导致其微博账号面临被盗的风险 。站方将不断强化安全策略,完善账号安全设置服务,以帮助用户提高账号安全等级,我们同时呼吁用户加强防范意识,保护好个人账号 。
平台采取单向加密存储,是否就能保证用户密码万无一失?对此,上述互联网行业安全专家告诉澎湃新闻采访人员,即使是加密储存,对于攻击者而言,也有“彩虹表”可查 。“这个表是历史上所有泄露的密码字典集合,比如,如果一个平台的服务器被盗取,攻击者并不能直接逆向得到你的密码,但可以在彩虹表里查到密文对应的明文,从而破解密码 。所以,平台在做单向加密的存储同时,要注重密码的独特性,也叫‘加盐’ 。”
【『用户』5亿微博用户数据泄露?暗网无人交易,专家建议用户勤改密码】上述金融行业安全工程师则建议用户勤修改密码,除了微博,应该为自己名下的各类账户分类 。“涉及邮箱(绑定多个账号)、网盘、学校(如学信网)、政府机构(如公积金)等账户密码应作为特重要密码,与普通账户密码保持差异 。”


推荐阅读


上一篇:[中国青年报]如何避免“宅娃”荒于嬉,网游消费激增

下一篇:「奥运会」东京奥运会推迟至2021年举办,直接经济损失约60亿美元