用户隐私信息泄露：通讯录数据同步与好友匹配竟是原罪？

作者/来源：小睿发布时间：2020-03-25

近日关于微博5.38亿用户数据信息泄露事件引发热议，而新浪微博官方回应，此次泄漏的手机号是2019年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的，并表示这起数据泄露不涉及身份证、密码，对微博服务没有影响。

其实，关于通讯录匹配好友功能众多社交软件app均存在，其实并不是社交软件强制要求的，这个是需要用户确认从而查找通讯录中是否存在好友。通讯录数据同步与匹配好友功能虽方便，但确与此次微博数据泄露有关联。

微博

关于此次微博用户信息泄露，新浪微博官方表示已经上报给司法机关，称部分用户使用了和其他平台相同账号密码，可能导致其微博账号面临被盗的风险。

微博信息泄露：通讯录匹配

在社交软件app中，通讯录同步与好友匹配大多是指手机客户端与服务端之间的单向同步。因此，在此次微博数据泄露中，攻击者可以通过伪造本地通讯录来达到获得手机号，进而可以与微博用户账号进行关联，通过不断的匹配与列举，就能关联出微博 id 到手机号的关系。

例如可以首先伪造通讯录有 xxxx00001 到 xxxx010000 手机号匹配好友，再伪造 xxxx010001 到 xxxx020000 手机号匹配好友，在不断列举中总能得到微博 id 到手机号的关系。

此外，微博数据泄露除去与通讯录接口遭受暴力匹配有关，可能还与以前网易撞库事件有关。

网易

网易撞库是在2015年，网易邮箱出现了多达5亿用户数据泄露事件，而网易，这是因为网易遭到黑客撞库所导致。其实撞库事件增多次发生，12306、京东都发生过撞库事件。

所谓撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

由此可见，通过撞库攻击这样的手段，黑客几乎是拥有万能钥匙在手，可以对任何网站的登陆系统操作自如。

微博数据泄露：漏水

除去通讯录匹配，漏水也是微博数据泄露的原因之一，这个主要是是针对一些企业而言的。

漏水是至企业某些非核心业务团队规模小，没有按照统一规范流程搭建业务，因此出现风险，比如没有做好关键数据隔离、权限分层管控、数据加密存储等关键事项。

虽然新浪微博对信息泄露事件做出回应，但是仍然引起用户的质疑以及担忧，因为暗网出售的信息包括了性别、位置等无法通过 API 匹配通讯录返回的非公开信息，对于非公开信息数据的来源仍然引发很多担忧。

毕竟，身处在移动互联时代，手机在我们的生活中扮演这非常重要的角色，社交软件更是重中之重，信息时代朋友的沟通都是通过社交软件来实现的。但数据时代，用户隐私信息与社交软件息息相关，因此，除了用户需要采取定期更换密码等措施之外，社交软件平台也存在不可推卸的责任。