撰稿 | 区长
来源 | 东二区
导读:用户画像在虚拟世界变成了真人
数据泄露,终究还是一颗随时都能爆开的闷雷。
因App数据隐患问题,微博再次被约谈。3月24日,工业和信息化部(以下简称“工信部”)网络安全管理局发布消息称,针对用户查询接口被恶意调用导致App数据泄露问题,已于3月21日约谈新浪微博。
通报显示,工信部对新浪微博相关负责人进行了问询约谈,要求其按照法律法规要求,并对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。
微博被约谈的背后,与App隐私权限、数据安全等存在争议不无关系。同样的,所谓的用户画像也在无形中,让用户的信息在虚拟世界变成了真实的存在。
当前,微博安全中心的官方微博已成为用户讨伐的专栏。不少用户提出,要求微博开放解绑身份信息功能。
同样的,还有用户质疑开通双重认证的情况下,还会存在异地登录情况。而截至目前,微博并未针对相关诉求再次回应。
数据安全争议
此前,就有媒体报道了人工智能公司 Banjo 以一己之力,获取了全球多个社交媒体的资源,包括新浪微博、Facebook、Twitter等。
截至2016年,Banjo 获取信息的公共社交媒体账号超过了 12 亿个。在公众质疑数据泄漏以及隐私权问题后,其表示将删除所有个人数据。不过,是否已经执行删除仍不得知。
回到微博事件上,网友“安全-云舒”日前在网上公开渠道称微博数据遭到泄露,涉及到用户手机号个人信息。
据了解,“安全_云舒”用户的微博认证为“默安科技创始人兼CTO,原阿里集团安全研究实验室总监”。
对此,微博方面表示,微博提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。
因此,微博认为,因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。
不过,也有用户表示,已发现5.38亿条微博用户信息在暗网出售。其中,1.72亿条有账户基本信息,售价0.177*币特比**。
涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
身份证号可查
对此,微博称,“此次数据泄露应该追溯到2018年底……有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。”
但根据新京报报道,记者跟踪调查该事件发现,在一些外网交易平台上确实出现相关的微博数据买卖,缴费即可通过微博账户查询用户手机号及其他更详细的个人隐私信息,其中很多包括用户身份证号、手机号、密码、生日等私密信息。
这也代表着,微博的数据已然泄露。事实上,除了暗网,Telegram也在售卖隐私数据,用户通过*币特比**/ETH数字货币充值后,可以利用微博ID反查出手机号码。
据澎湃新闻报道,3月23日,两位安全人士对相关数据做查询测试,其中一位通过微博ID,在Telegram上成功查询到自己及记者的手机号码。
另一位安全专家则以自己为例进行查询,结果显示并不准确,匹配出的信息并非自己的个人信息。
有专家指出,通过微博等泄露的数据匹配出手机号,再利用手机号进一步关联查询,匹配出更多的信息。当关联信息足够多,一个虚拟世界“完整的你”就很可能被匹配出来。
多次“甩锅”未成
事实上,在2018年底,曾有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
而今,宣称“(泄露数据)不涉及用户身份证密码等”的微博,被证实可以查询到用户的隐私数据,微博的失责在于泄露了昵称与手机号的关联,也同样暴露了微博并未保护好用户数据。
据了解,在工信部3月24日的通报中,微博应按照规定,以及工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。
包括尽快完善隐私政策,规范用户个人信息收集使用行为;加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;及时防范数据安全风险等。
微博则表示,针对此次事件已采取了升级接口安全策略等措施,后续将按照工业和信息化部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
但在微博被约谈前,微博CEO王高飞(@来去之间)对此事件评论道:“是2014年以前网易那次撞库的,这就没意思了。”微博方面也表态称,数据源于2018年末。
但经过证实,相关情况也发生在2019年。其中,网络流传一份1799 元的打包售卖截图显示,这份疑似微博个人数据的“商品”泄露内容包含用户手机号,标注时间为2019年年中。
微博2019全年财报数据显示,2019年12月,微博月活跃(自然月至少登陆一次)用户达到5.16亿,较上年同期净增约5400万。其中,约94%为移动端用户。
这也意味着,微博的全部用户或已全部中招。