撰稿 | 區長
來源 | 東二區
導讀:用戶畫像在虛擬世界變成了真人
數據洩露,終究還是一顆隨時都能爆開的悶雷。
因App數據隱患問題,微博再次被約談。3月24日,工業和信息化部(以下簡稱“工信部”)網絡安全管理局發佈消息稱,針對用戶查詢接口被惡意調用導致App數據洩露問題,已於3月21日約談新浪微博。
通報顯示,工信部對新浪微博相關負責人進行了問詢約談,要求其按照法律法規要求,並對照工信部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步採取有效措施,消除數據安全隱患。
微博被約談的背後,與App隱私權限、數據安全等存在爭議不無關係。同樣的,所謂的用戶畫像也在無形中,讓用戶的信息在虛擬世界變成了真實的存在。
當前,微博安全中心的官方微博已成為用戶討伐的專欄。不少用戶提出,要求微博開放解綁身份信息功能。
同樣的,還有用戶質疑開通雙重認證的情況下,還會存在異地登錄情況。而截至目前,微博並未針對相關訴求再次回應。
數據安全爭議
此前,就有媒體報道了人工智能公司 Banjo 以一己之力,獲取了全球多個社交媒體的資源,包括新浪微博、Facebook、Twitter等。
截至2016年,Banjo 獲取信息的公共社交媒體賬號超過了 12 億個。在公眾質疑數據洩漏以及隱私權問題後,其表示將刪除所有個人數據。不過,是否已經執行刪除仍不得知。
回到微博事件上,網友“安全-雲舒”日前在網上公開渠道稱微博數據遭到洩露,涉及到用戶手機號個人信息。
據瞭解,“安全_雲舒”用戶的微博認證為“默安科技創始人兼CTO,原阿里集團安全研究實驗室總監”。
對此,微博方面表示,微博提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有“根據用戶暱稱查手機號”的服務。
因此,微博認為,因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。
不過,也有用戶表示,已發現5.38億條微博用戶信息在暗網出售。其中,1.72億條有賬戶基本信息,售價0.177比特幣。
涉及到的賬號信息包括用戶ID、賬號發佈的微博數、粉絲數、關注數、性別、地理位置等。
身份證號可查
對此,微博稱,“此次數據洩露應該追溯到2018年底……有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。”
但根據新京報報道,記者跟蹤調查該事件發現,在一些外網交易平臺上確實出現相關的微博數據買賣,繳費即可通過微博賬戶查詢用戶手機號及其他更詳細的個人隱私信息,其中很多包括用戶身份證號、手機號、密碼、生日等私密信息。
這也代表著,微博的數據已然洩露。事實上,除了暗網,Telegram也在售賣隱私數據,用戶通過比特幣/ETH數字貨幣充值後,可以利用微博ID反查出手機號碼。
據澎湃新聞報道,3月23日,兩位安全人士對相關數據做查詢測試,其中一位通過微博ID,在Telegram上成功查詢到自己及記者的手機號碼。
另一位安全專家則以自己為例進行查詢,結果顯示並不準確,匹配出的信息並非自己的個人信息。
有專家指出,通過微博等洩露的數據匹配出手機號,再利用手機號進一步關聯查詢,匹配出更多的信息。當關聯信息足夠多,一個虛擬世界“完整的你”就很可能被匹配出來。
多次“甩鍋”未成
事實上,在2018年底,曾有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
而今,宣稱“(洩露數據)不涉及用戶身份證密碼等”的微博,被證實可以查詢到用戶的隱私數據,微博的失責在於洩露了暱稱與手機號的關聯,也同樣暴露了微博並未保護好用戶數據。
據瞭解,在工信部3月24日的通報中,微博應按照規定,以及工信部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步採取有效措施,消除數據安全隱患。
包括儘快完善隱私政策,規範用戶個人信息收集使用行為;加強用戶信息分類分級保護,強化用戶查詢接口風險控制等安全保護策略;及時防範數據安全風險等。
微博則表示,針對此次事件已採取了升級接口安全策略等措施,後續將按照工業和信息化部要求,落實企業數據安全主體責任,切實做好用戶個人信息保護工作。
但在微博被約談前,微博CEO王高飛(@來去之間)對此事件評論道:“是2014年以前網易那次撞庫的,這就沒意思了。”微博方面也表態稱,數據源於2018年末。
但經過證實,相關情況也發生在2019年。其中,網絡流傳一份1799 元的打包售賣截圖顯示,這份疑似微博個人數據的“商品”洩露內容包含用戶手機號,標註時間為2019年年中。
微博2019全年財報數據顯示,2019年12月,微博月活躍(自然月至少登陸一次)用戶達到5.16億,較上年同期淨增約5400萬。其中,約94%為移動端用戶。
這也意味著,微博的全部用戶或已全部中招。
閱讀更多 東二區 的文章
