一、5亿用户隐私数据泄漏
大东:小白,玩社交软件吗?
小白:玩呀~
大东:啥时候开始玩的?
小白:这怕是要追溯到高中时期...
大东:打住打住,咱今天不讨论这个,我是来提醒你使用社交软件要注意隐私安全的。
小白:嗯?啥情况?难道又发生了什么?
大东:就在前几日,3月19日,某社交网站用户称:“很多人的手机号码泄露了,根据该社交网站账号就能查到手机号……已经有人通过泄露的手机号码,来加微信了。”
小白:真的假的!
大东:在这条状态下,有不少网友留言表示自己也疑似遭遇了数据泄露。涉及到的账号信息包括用户ID、账号发布的文章数、粉丝数、关注数、性别、地理位置等。
小白:天惹噜~快给我讲讲!
二、大话始末
小白:这件事情到底啥情况呀?
大东:有分析人员根据相关线索进行了尝试,证明确实可以通过灰产买到该社交网络的用户信息。
小白:又是灰产!这又是怎么操作的?
大东:研究人员在小道消息的引导下,找到了购买隐私数据其中一个根据地——电报(Telegram)。这个系统是“积分机制”,你可以通过数字货币为该灰产充值,在电报账号的账户转换成积分,使用积分可以找机器人换取各种服务。
小白:这积分贵么?
大东:经分析人员测试,换算成人民币约等于10元查询一次。
小白:那...还真实不贵...怎么查的呀?
大东:如果你选择批量查询,那么机器人将会返回出名单,每次100个左右。内容包括:账号、邮箱、密码等信息。如果你选择根据社交网络账号查询,需要向给机器人输入其主页的ID,机器人返回的结果包括:绑定QQ、绑定手机、微博主页地址。
小白:这么详细!那岂不是只要有人看见我的社交平台,就能查到我的电话QQ号、电话号码了!
大东:是的,除了这两种查询方式,还能根据真实姓名查身份证,通过身份证查真实姓名等操作。
小白:真可怕啊...
三、原理分析
小白:这是什么原理?该社交网络系统被入侵了?
大东:对这件事情,该社交网络平台方面回应,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。微博安全总监称:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”可以从官方的回应看出,是有恶意用户抓住了微博查找好友功能的漏洞,收集了大量用户个人信息和微博信息间的对应关系,通过灰产谋取不义之财。
小白:啥意思?大东东我没听懂。
大东:行,那我给你详细讲讲。小白,你还记得你第一个微博好友是谁么?
小白:我记得!就是我的高中同桌小黑呀~
大东:比课本知识点记得清楚多了呢。那你记得你是怎么找到他的么?
小白:嗯...好像是我用手机号注册了之后,开了手机通讯录权限,然后app就自动向我推荐的~
大东:嗯,你想到什么问题了么?
小白:诶~那如果微博用户的手机通讯录里有我的手机号,那岂不是也能找到我的微博账号了!
大东:因此可以推断出这个灰产是如何诞生的——手机号的源头是有黑客找到一大堆手机号,然后利用微博上传通讯录功能,匹配出来微博ID,对互相一一对应关系进行整理,然后就可以以此牟利了。
小白:太狡猾了!我以后还怎么在微博上分享生活啊!
大东:你的担忧是对的,人们在微博上分享生活,于是每个微博的账号是有人设的,通过手机号找到微博,也就是能通过手机号将人物刻画出来了。
小白:呜呜呜,我再也不用微博了!
大东:不仅仅是微博,其他的app也有类似问题的。只要有你朋友上传了通信录,都存在这个安全隐患。
小白:我的朋友可不能坑我呀。
大东:app的社交属性引发了这个问题,每个app现在要求实名,只能希望用户都有一定的安全意识。
微博隐私灰产原理
四、如何预防
小白:大东东~就没人管管咱小用户么!就这么任人欺负么!
大东:微博表示,此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响,“发现异常后,及时加强了安全策略,今后还将不断强化。”
小白:好吧,希望以后不会从系统上找到这个漏洞了。
大东:其实,目前曝光内容已删除,也是出于对其他用户效仿的担心。
小白:那咱普通用户,有啥办法可以自我拯救的么?
大东:当然,普通用户最重要的就是提高网络安全意识,注意互联网上的隐私保护。
小白:具体如何防护呢?
大东:首先是要搞清楚隐私泄漏的几种主要方式:一是使用泄漏,如操作失误、打印、外发文件、拍摄屏幕等方式泄漏数据。二是存储泄漏,包括数据中心、服务器和数据库的数据被入侵造成泄漏,移动终端被盗、丢失或维修造成数据泄漏。三是传输泄漏,通过网络监听、拦截等方式对传输数据进行篡改、伪造和窃取。
小白:那咱有啥对应的措施么?
大东:当然了,小白你记好了,可以通过以下方法进行自我安全防护。
1. 谨慎允许App拥有系统权限,一些App总是会申请拥有过多和应用提供的服务不相关的权限,除了通讯录权限外,还有摄像头权限和GPS权限。
2. 检查登录的网站是否安全,看网页是否拥有https或关闭锁定。
3. 在浏览时,不要轻易将身份证号码、个人喜好、所处位置等敏感信息泄露。
4. 不同平台的密码尽量不同,防止撞库带来的信息泄露,密码设置可以通过组合字母,数字和符号来创建安全性较高的密码。
5. 谨慎点击电子邮件中的链接,很多垃圾广告的发件人ID会模仿官方账号,点击链接前务必要确定发件人是否是官方。
小白:懂了!一定注意!
隐私安全(图片来自网络)