（觀察者網(wǎng) 文/張珩）3月19日，原阿里集團(tuán)安全研究實(shí)驗(yàn)室總監(jiān)，現(xiàn)任默安科技CTO魏興國(guó)發(fā)布的一條微博，把微博推上了風(fēng)口浪尖。

魏興國(guó)稱，微博數(shù)據(jù)泄露了不少用戶的手機(jī)號(hào)，當(dāng)中涉及不少微博認(rèn)證的明星、官員、企業(yè)家。

對(duì)此微博回應(yīng)表示：“此次數(shù)據(jù)泄露應(yīng)該追溯到2018年底，當(dāng)時(shí)，有用戶通過(guò)微博相關(guān)接口通過(guò)批量手機(jī)批量上傳通訊錄，匹配出幾百萬(wàn)個(gè)賬號(hào)昵稱，再加上通過(guò)其他渠道獲取的信息一起對(duì)外出售?！?

微博還稱：“微博一直有提供根據(jù)通訊錄手機(jī)號(hào)查詢微博好友昵稱的服務(wù)，用戶授權(quán)后可以使用該服務(wù)。但微博不提供用戶性別和身份證號(hào)等信息，也沒(méi)有‘根據(jù)用戶昵稱查手機(jī)號(hào)’的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼，對(duì)微博服務(wù)沒(méi)有影響。此次非法調(diào)用微博接口匹配出的信息即為微博賬號(hào)昵稱，不涉及其余隱私數(shù)據(jù)?！蹦壳拔⒉┮呀?jīng)及時(shí)強(qiáng)化安全策略，并將不斷強(qiáng)化。

在魏興國(guó)發(fā)布的微博評(píng)論區(qū)中，有網(wǎng)友曾經(jīng)表示，有超過(guò)5.38億條微博用戶信息在暗網(wǎng)出售，其中1.72億條有賬戶基本信息，售價(jià)0.177比特幣。涉及到的賬號(hào)信息包括用戶ID、賬號(hào)發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等。

目前，魏興國(guó)已經(jīng)將上述微博刪除，并表示數(shù)據(jù)泄露應(yīng)該是被人通過(guò)接口薅了一些數(shù)據(jù)。

微博數(shù)據(jù)泄露

3月19日，微博用戶@安全_云舒發(fā)布微博表示：“很多人的手機(jī)號(hào)碼泄露了，根據(jù)微博賬號(hào)就能查到手機(jī)號(hào)……已經(jīng)有人通過(guò)微博泄露查到我的手機(jī)號(hào)碼，來(lái)加我微信了?！?

隨后他還稱：“這條被限了，但是隱瞞改變不了真相。事實(shí)上就是很多人的手機(jī)號(hào)碼泄露了，根據(jù)微博賬號(hào)就能查到手機(jī)號(hào)，我相信包括明星、企業(yè)家、公務(wù)員等人在內(nèi)，也包括我的手機(jī)號(hào)，也包括來(lái)總的，也包括各位的。”（觀察者網(wǎng)注：來(lái)總代指微博用戶“來(lái)去之間”，現(xiàn)實(shí)中是微博CEO王高飛）。

魏興國(guó)微博

觀察者網(wǎng)查詢發(fā)現(xiàn)，微博用戶@安全_云舒實(shí)為默安科技CTO，原阿里集團(tuán)安全研究實(shí)驗(yàn)室總監(jiān)魏興國(guó)，“云舒”是其在阿里巴巴的花名。

隨后微博認(rèn)證用戶，微博安全總監(jiān)@羅詩(shī)堯也在評(píng)論中表示，這是此前數(shù)據(jù)出現(xiàn)了“撞庫(kù)”或“漏水”現(xiàn)象，“多謝關(guān)心，每隔段時(shí)間就有人在網(wǎng)上賣（數(shù)據(jù)），每次都會(huì)引起一波輿情?！?

羅詩(shī)堯微博

值得注意的是，羅詩(shī)堯所說(shuō)的撞庫(kù)在國(guó)內(nèi)數(shù)據(jù)安全領(lǐng)域曾經(jīng)多次發(fā)生，12306、京東都曾經(jīng)是撞庫(kù)的受害者。2015年，網(wǎng)易郵箱出現(xiàn)了多達(dá)5億用戶數(shù)據(jù)泄露事件，彼時(shí)網(wǎng)易聲稱，這是因?yàn)榫W(wǎng)易遭到黑客撞庫(kù)所導(dǎo)致。

所謂撞庫(kù)是黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的帳號(hào)密碼，因此黑客可以通過(guò)獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，這就可以理解為撞庫(kù)攻擊。

據(jù)了解，通過(guò)這樣的手法，幾乎可以對(duì)付任何網(wǎng)站登錄系統(tǒng)，就相當(dāng)于給自己配了一把“萬(wàn)能鑰匙”。

而羅詩(shī)堯所說(shuō)的漏水則是指企業(yè)某些非核心業(yè)務(wù)團(tuán)隊(duì)規(guī)模小，沒(méi)有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù)，因此出現(xiàn)風(fēng)險(xiǎn)，比如沒(méi)有做好關(guān)鍵數(shù)據(jù)隔離、權(quán)限分層管控、數(shù)據(jù)加密存儲(chǔ)等關(guān)鍵事項(xiàng)。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。