昨天，又有一個知名社交平臺爆出隱私資料洩露事件。

微博名為“安全_雲舒”的使用者轉發微博時稱：“很多人的手機號碼洩露了，根據微博賬號就能查到手機號……已經有人通過微博洩露查到我的手機號碼，來加我微信了。”（該微博已經刪除）

該微博資訊顯示，此人為默安科技創始人兼 CTO，原阿里集團安全研究實驗室總監。

作為一個做網路安全出身的人，想必他在這方面不會胡說八道，於是引起了網友們注意，有不少人表示有類似情況發生。

他後續表示，可能是有人通過介面薅走了一些資料，未必是資料洩露。

並且，他說來總的手機號碼也洩露了！（來總：微博 CEO 王高飛，微博名為“來去之間”）

看來這個事情可大可小，於是輕鬆驚動了微博官方的人員。

先是微博 CEO 王高飛 @來去之間 回覆稱“是 2014 年以前網易那次撞庫的”。

隨後不久，認證為微博安全總監的 @羅詩堯 也在評論中回覆稱“多謝關心，每隔段時間就有人在網上賣（資料），每次都會引起一波輿情，本不想回應，這條微博今後還會用得上。”

他還在個人微博上補充稱：“洩漏的手機號是 19 年通過通訊錄上傳介面被暴力匹配的，其餘公開資訊都是網上抓來的。”

針對這次爆出的“資料洩露”事件，微博方面向媒體迴應，微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務，使用者授權後可以使用該服務，但微博不提供使用者性別和身份證號等資訊，也沒有“根據使用者暱稱查手機號”的服務。

微博表示，2018 年底，有使用者通過微博相關介面通過批量手機批量上傳通訊錄，匹配出幾百萬個賬號暱稱，再加上通過其他渠道獲取的資訊一起對外出售。“發現異常後，我們及時加強了安全策略，今後還將不斷強化。

看到這裡劇情也基本清晰了：這些是以前洩露的，已經加強了安全策略。

其實，像這種使用者賬號資料洩露的事情，時不時都能看到，並且，我們可以通過社工庫等暗網購買到這些資料。

這次所爆出的 5 億微博隱私資料，也是被明碼標價在某些平臺當作商品出售。

一般這些資料是通過“撞庫”或者“漏水”所洩露出來的。

“撞庫”簡單理解指的是通過已經收集到的使用者和密碼資訊，進行批量嘗試登入其它網站，如果恰好這個使用者在不同網站用了同一套密碼，則被成功撞庫攻擊。

“漏水”則為某些企業自身出現風險導致的資料洩露。

拿到使用者的賬號密碼後，黑客們還會收集網站上的一些附加資料，包括且不限於購物訂單記錄、開房資料、火車票購票資料等等。

如果拿到的資料足夠多，根據它們可以輕鬆描繪出一個完整的使用者畫像：姓名、照片、收入、住址、購物行為、消費習慣等等......

前面提到的社工庫則是黑客們把這些資料集中歸檔的一個地方。

細思極恐，毫不誇張的說，社工庫上關於你的資料，可能比你媽都還要了解你自己！

作為一個大資料時代，中心化的網際網路服務架構，雁過留痕，我們在網際網路上留下的資料越來越多，難免出現洩露問題。

根據《2019 年雲安全報告》顯示，在所有的資料洩露事件中，科技行業資料洩露事件最多，佔比為 37%。畢竟科技行業作為資訊化、數字化程度最高的行業，在發揮資料價值方面更遊刃有餘。

除了寄希望於各大公司提高使用者資料保護，還是希望大家能夠強化自身意識，不要再用“你的生日”之類作為密碼了，更不要把涉及到金錢的平臺賬號密碼設定得過於簡單，降低被撞庫的風險。

走，改微博密碼去了~

參考資料：虎嗅網 微博恰飯這些年，連使用者資料都管不好了？