新浪微博被工信部約談 數(shù)據(jù)泄露幾時(shí)休?
出處:
作者:
網(wǎng)編:賀陳慧
2020-03-25
數(shù)據(jù)是否涉及隱私�����?
公開(kāi)信息顯示����,3月4日����,有暗網(wǎng)用戶發(fā)布了一則名為“5.38億微博用戶綁定手機(jī)號(hào)數(shù)據(jù),其中1.72億有賬號(hào)基本信息”的交易信息�����,售價(jià)1388美元。
該用戶稱�����,這些信息“均為2019年年中左右抓取”����,并給出400條綁定手機(jī)號(hào)的測(cè)試數(shù)據(jù),以及1500條賬號(hào)基本信息的測(cè)試數(shù)據(jù)�。其中綁定手機(jī)數(shù)據(jù)包括用戶的ID和手機(jī)號(hào),賬號(hào)信息則包括用戶昵稱����、頭像�、粉絲數(shù)、所在地等���。
微博用戶“@安全_云舒”關(guān)于微博數(shù)據(jù)泄露的微博
該事件被媒體曝光后�����,微博方很快回復(fù):微博一直有提供根據(jù)通訊錄手機(jī)號(hào)查詢微博好友昵稱的服務(wù)��,用戶授權(quán)后可以使用該服務(wù)����。但微博不提供用戶性別和身份證號(hào)等信息,也沒(méi)有“根據(jù)用戶昵稱查手機(jī)號(hào)”的服務(wù)��。因此這起數(shù)據(jù)泄露不涉及身份證�、密碼,對(duì)微博服務(wù)沒(méi)有影響�����。
但經(jīng)過(guò)《新京報(bào)》記者實(shí)測(cè)發(fā)現(xiàn)���,不僅有暗網(wǎng)上的數(shù)據(jù)打包售賣�����,在Telegram平臺(tái)上也有灰產(chǎn)人士提供微博�����、QQ�����、貼吧等社交賬戶關(guān)聯(lián)手機(jī)號(hào)碼及其他信息的定向查詢服務(wù)���。
據(jù)測(cè)試�,Telegram平臺(tái)上售賣的微博用戶信息�����,其中不少信息包括用戶身份證號(hào)��、手機(jī)號(hào)�、密碼、生日等私密信息�。
數(shù)據(jù)泄露是匹配通訊錄導(dǎo)致
就此次事件,微博承認(rèn)數(shù)據(jù)泄露屬實(shí)�。但關(guān)于起因,微博解釋稱�����,此次數(shù)據(jù)泄露應(yīng)追溯到2018年底��,當(dāng)時(shí)�,有用戶通過(guò)微博相關(guān)接口批量上傳通訊錄�����,匹配出幾百萬(wàn)個(gè)賬號(hào)昵稱,再加上通過(guò)其他渠道獲取的信息一起對(duì)外出售�����。
按照這個(gè)解釋����,這次數(shù)據(jù)泄漏主要原因是通訊錄好友匹配攻擊導(dǎo)致的。有業(yè)內(nèi)人士解釋稱�����,攻擊者可以偽造本地通訊錄來(lái)獲得手機(jī)號(hào)到微博用戶賬號(hào)的關(guān)聯(lián)�。比如通過(guò)偽造的手機(jī)號(hào)匹配好友,并不斷列舉����,就能關(guān)聯(lián)出所有用戶帳號(hào)到微博ID到手機(jī)號(hào)的關(guān)系。
當(dāng)然����,這也說(shuō)明前期微博接口安全防護(hù)沒(méi)有做到位,在關(guān)鍵數(shù)據(jù)隔離�����、權(quán)限分層管控、數(shù)據(jù)加密存儲(chǔ)等方面沒(méi)有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù)�����,導(dǎo)致數(shù)據(jù)被他人通過(guò)撞庫(kù)的方式獲取到�。
網(wǎng)絡(luò)大數(shù)據(jù)集中后,給非法勢(shì)力攻擊����、竊取大量信息提供了便利,由此導(dǎo)致的信息泄露��,也給公眾帶來(lái)了不少困擾���。
中消協(xié)此前發(fā)布的報(bào)告顯示���,在使用APP過(guò)程中,遇到過(guò)個(gè)人信息泄露情況的受訪者占比達(dá)85.2%�����。信息泄露后�,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話���,約63.4%的受訪者收到垃圾郵件�,排名位居前三位���。我國(guó)網(wǎng)民因垃圾信息�、詐騙信息��、個(gè)人信息泄露等遭受的經(jīng)濟(jì)損失一年高達(dá)915億元����。
工信部強(qiáng)調(diào)數(shù)據(jù)分級(jí)保護(hù)
針對(duì)此次數(shù)據(jù)安全事故,工信部對(duì)新浪微博提出了四點(diǎn)要求���,其中包括����,要盡快完善隱私政策����,規(guī)范用戶個(gè)人信息收集使用行為;同時(shí)要加強(qiáng)用戶信息分類分級(jí)保護(hù),強(qiáng)化用戶查詢接口風(fēng)險(xiǎn)控制等安全保護(hù)策略等�。
新浪微博被約談
企業(yè)收集公民的個(gè)人信息已成為常態(tài),如何保護(hù)公民個(gè)人信息安全成為重要問(wèn)題��。
《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(以下簡(jiǎn)稱《決定》)第一條規(guī)定�����,“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”�����。從這一條來(lái)看��,公民個(gè)人信息不僅包括傳統(tǒng)意義上的姓名��、住址�����、電話�����、工作單位���、財(cái)產(chǎn)狀況等物理信息�����,還包括個(gè)人的生物信息。
《決定》規(guī)定���,“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對(duì)在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息必須嚴(yán)格保密��,不得泄露����、篡改�、毀損,不得出售或者非法向他人提供”�����。
中同律師事務(wù)所合伙人�����、專職律師顧新華接受《數(shù)據(jù)》記者采訪時(shí)也曾表示,從企業(yè)的角度來(lái)說(shuō)����,收集了公民的個(gè)人信息后�����,應(yīng)該承擔(dān)保護(hù)信息的義務(wù)����。
顧新華提到���,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定�����,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施�����,確保其收集的個(gè)人信息安全���,防止信息泄露�����、毀損�、丟失�。在發(fā)生或者可能發(fā)生個(gè)人信息泄露�����、毀損���、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施����,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
(圖片來(lái)源:攝圖網(wǎng))
文字丨李婷
編輯丨賀陳慧
