作者/来源:小睿 发布时间:2020-03-23
近日,有网友爆料:微博个人信息已可在暗网买卖,用户买到自己的信息了。在Telegram上,已有大量被泄露个人信息可以用btc和eth交易,目前暗网已经疯了,大家都在疯狂查询,这事已在国际暗网上产生巨大影响。
据悉,该次数据泄露涉及5.38 亿条微博用户信息,其中 1.72 亿有账号基本信息。全部数据售价 0.177 比特币,折合成人民币约为 7350 元。据悉,涉及到的账号信息包括用户 ID、微博数、粉丝数、关注数、性别、地理位置等。
微博
微博5.38亿用户数据遭泄露?
针对微博数据泄露这一事实,微博已经确认,并且已及时强化安全策略,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。
微博称,此次数据泄露应该追溯到2018年底,当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。其一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有根据用户昵称查手机号的服务。
因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及其余隐私数据。
微博数据泄露原因
关于此次微博数据泄露,微博安全总监回应泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。针对数据泄露的原因分析称数据泄露的原因或为数据撞库或漏水现象。
信息泄露
撞库是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
漏水则是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。
对于微博的数据泄露,不能轻视也不用太夸大,因为这是每年都会发生许多数据泄露事件,这只是其中一起。现在,随着所有互联网公司都在做数字化转型,其实每一个企业都掌握了大量客户信息。这些信息如果保护不到位的话,都会出现数据泄露。
无论是物理世界,还是数字世界,它都不是 100% 的安全,一定会有各种各样的风险。数据泄露,其实是数字化世界中非常普遍、需要重视的安全风险之一。
如何保护数据安全?
个人用户角度
对我们个人用户而言,虽然是个人信息数据的拥有者,但并不是数据的控制者。因为,当今社交软件繁多,使用时我们的信息就已经被委托给某一个平台,此时我们就已经将数据控制权将交给了对方。因此,我们需要采取以下手段来保护数据安全。
1)不同密码且定期修改
在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;
2)重要信息分类使用
当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。
企业角度
无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。企业或组织机构应该对数据泄露应采取积极主动的态度,避免数据泄露事件发生。
1)完善数据安全防护手段
当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。
敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
2)建立可落地的行业性数据安全规范和企业数据安全管理制度
数据安全已经被逐步纳入国家法规和行业规范中。数据安全已经成为新一代信息安全标准的基本内容。虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。
如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。
3)提高安全意识,增加对内部数据泄露风险的防护
目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。
据调查,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。
因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。