資料洩露已成為網際網路行業典型故事之一。去年11月，Twitter就出現過利用通訊錄匹配功能獲得百萬推特使用者賬號和手機號的資料洩漏事件，隨後 Facebook關閉了這一功能。而國內知名的一次資料洩露資料當屬 2011 年的“CSDN 百萬使用者資訊外洩”。當年有駭客在網上公開了知名程式設計師網站CSDN的使用者資料庫，高達600多萬個明文的郵箱賬號和密碼遭到外洩。

這次微博個人資訊資料洩漏，最可能的原因是通訊錄好友匹配攻擊導致的。很多社交app都有透過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博使用者賬號的關聯。比如先偽造通訊錄有xxxx00001到xxxx010000手機號匹配好友，再偽造xxxx010001到xxxx020000手機號匹配好友，不斷列舉，就能關聯出微博id到手機號的關係。

因此強烈建議大公司儘量關閉通訊錄匹配功能，如果開啟，必須對此介面進行各種資料洩漏監測和流控/風控措施。

在網友“安全_雲舒”的微博主頁上，其個人介紹為“默安科技創始人兼 CTO”，原阿里集團安全研究實驗室總監。36 氪向默安科技官方求證，證明以上資訊屬實，“安全_雲舒”確為默安科技CTO 魏興國，“雲舒”是其在阿里巴巴的花名。

隨後，有微博認證為“微博安全總監”的網友羅詩堯在微博中回覆稱：多謝關心，每隔段時間就有人在網上賣(資料)，每次都會引起一波輿情，本不想回應，這條微博今後還會用得上。

36氪就“資料洩露”一事向微博方面求證，對方表示內部正在瞭解情況。

對於資料洩露的原因，根據魏興國在微博上的表述，這次事件或是由於微博在 2019 年被人透過介面“薅走了一些資料”，而不是所謂的“資料拖庫”。

所謂資料拖庫，是指網站遭到入侵後，駭客竊取資料庫並將所有資料資訊拿走，屬於安全領域非常嚴重的事故。

“像微博這樣體量的公司，被駭客大規模入侵的機率不大，它們遭遇的應該不是拖庫。”一位安全領域的資深人士告訴 36 氪。

上述人士分析稱，出現這樣的資料洩露現象有兩種可能，一種是“撞庫”，一種是某些業務出現了“漏水”。

其中，“漏水”是指企業某些非核心業務團隊規模小，沒有按照統一規範流程搭建業務，因此出現風險，比如沒有做好關鍵資料隔離、沒有做好許可權分層管控、沒有做好資料加密儲存等。

而“撞庫”則是黑市倒賣資料的一種慣用手段。很多人喜歡將不同網站的密碼設定為同一個，一旦你在某個網路安全能力較弱的網站密碼被駭客獲取，駭客就可以用該密碼迴圈測試其他網站，這種手段就叫“撞庫”。

“個人資訊資料洩漏大多是在應用層/業務這一頭洩漏的，一個是內部的大量需要業務上接觸資料的業務類員工，一個是對外公開的介面或對合作夥伴的介面。”另一位國內網路安全專家進一步向 36 氪表示，他從另一種角度闡明瞭這次事故產生的可能性：

這次微博個人資訊資料洩漏，最可能的原因是通訊錄好友匹配攻擊導致的。很多社交app都有透過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博使用者賬號的關聯。比如先偽造通訊錄有xxxx00001到xxxx010000手機號匹配好友，再偽造xxxx010001到xxxx020000手機號匹配好友，不斷列舉，就能關聯出微博id到手機號的關係。

“建議大公司儘量關閉通訊錄匹配功能，如果開啟，必須對此介面進行各種資料洩漏監測和流控/風控措施。”上述人士對 36 氪談到。

資料洩露已成為網際網路行業典型故事之一。去年11月，Twitter就出現過利用通訊錄匹配功能獲得百萬推特使用者賬號和手機號的資料洩漏事件，隨後 Facebook關閉了這一功能。而國內知名的一次資料洩露資料當屬 2011 年的“CSDN 百萬使用者資訊外洩”。當年有駭客在網上公開了知名程式設計師網站CSDN的使用者資料庫，高達600多萬個明文的郵箱賬號和密碼遭到外洩。