撰稿 | 區長

導讀：使用者畫像在虛擬世界變成了真人

資料洩露，終究還是一顆隨時都能爆開的悶雷。

因App資料隱患問題，微博再次被約談。3月24日，工業和資訊化部（以下簡稱“工信部”）網路安全管理局釋出訊息稱，針對使用者查詢介面被惡意呼叫導致App資料洩露問題，已於3月21日約談新浪微博。

通報顯示，工信部對新浪微博相關負責人進行了問詢約談，要求其按照法律法規要求，並對照工信部等四部門制定的《App違法違規收集使用個人資訊行為認定方法》，進一步採取有效措施，消除資料安全隱患。

微博被約談的背後，與App隱私許可權、資料安全等存在爭議不無關係。同樣的，所謂的使用者畫像也在無形中，讓使用者的資訊在虛擬世界變成了真實的存在。

當前，微博安全中心的官方微博已成為使用者討伐的專欄。不少使用者提出，要求微博開放解綁身份資訊功能。

同樣的，還有使用者質疑開通雙重認證的情況下，還會存在異地登入情況。而截至目前，微博並未針對相關訴求再次迴應。

資料安全爭議

截至2016年，Banjo 獲取資訊的公共社交媒體賬號超過了 12 億個。在公眾質疑資料洩漏以及隱私權問題後，其表示將刪除所有個人資料。不過，是否已經執行刪除仍不得知。

回到微博事件上，網友“安全-雲舒”日前在網上公開渠道稱微博資料遭到洩露，涉及到使用者手機號個人資訊。

據了解，“安全_雲舒”使用者的微博認證為“默安科技創始人兼CTO，原阿里集團安全研究實驗室總監”。

對此，微博方面表示，微博提供根據通訊錄手機號查詢微博好友暱稱的服務，使用者授權後可以使用該服務。但微博不提供使用者性別和身份證號等資訊，也沒有“根據使用者暱稱查手機號”的服務。

因此，微博認為，因此這起資料洩露不涉及身份證、密碼，對微博服務沒有影響。

不過，也有使用者表示，已發現5.38億條微博使用者資訊在暗網出售。其中，1.72億條有賬戶基本資訊，售價0.177比特幣。

涉及到的賬號資訊包括使用者ID、賬號釋出的微博數、粉絲數、關注數、性別、地理位置等。

身份證號可查

對此，微博稱，“此次資料洩露應該追溯到2018年底……有使用者通過微博相關介面通過批量手機批量上傳通訊錄，匹配出幾百萬個賬號暱稱，再加上通過其他渠道獲取的資訊一起對外出售。”

但根據新京報報道，記者跟蹤調查該事件發現，在一些外網交易平臺上確實出現相關的微博資料買賣，繳費即可通過微博賬戶查詢使用者手機號及其他更詳細的個人隱私資訊，其中很多包括使用者身份證號、手機號、密碼、生日等私密資訊。

這也代表著，微博的資料已然洩露。事實上，除了暗網，Telegram也在售賣隱私資料，使用者通過比特幣/ETH數字貨幣充值後，可以利用微博ID反查出手機號碼。

另一位安全專家則以自己為例進行查詢，結果顯示並不準確，匹配出的資訊並非自己的個人資訊。

有專家指出，通過微博等洩露的資料匹配出手機號，再利用手機號進一步關聯查詢，匹配出更多的資訊。當關聯資訊足夠多，一個虛擬世界“完整的你”就很可能被匹配出來。

多次“甩鍋”未成

事實上，在2018年底，曾有使用者通過微博相關介面通過批量手機批量上傳通訊錄，匹配出幾百萬個賬號暱稱，再加上通過其他渠道獲取的資訊一起對外出售。

而今，宣稱“（洩露資料）不涉及使用者身份證密碼等”的微博，被證實可以查詢到使用者的隱私資料，微博的失責在於洩露了暱稱與手機號的關聯，也同樣暴露了微博並未保護好使用者資料。

據了解，在工信部3月24日的通報中，微博應按照規定，以及工信部等四部門制定的《App違法違規收集使用個人資訊行為認定方法》，進一步採取有效措施，消除資料安全隱患。

包括儘快完善隱私政策，規範使用者個人資訊收集使用行為；加強使用者資訊分類分級保護，強化使用者查詢介面風險控制等安全保護策略；及時防範資料安全風險等。

微博則表示，針對此次事件已採取了升級介面安全策略等措施，後續將按照工業和資訊化部要求，落實企業資料安全主體責任，切實做好使用者個人資訊保護工作。

但在微博被約談前，微博CEO王高飛（@來去之間）對此事件評論道：“是2014年以前網易那次撞庫的，這就沒意思了。”微博方面也表態稱，資料來源於2018年末。

但經過證實，相關情況也發生在2019年。其中，網路流傳一份1799 元的打包售賣截圖顯示，這份疑似微博個人資料的“商品”洩露內容包含使用者手機號，標註時間為2019年年中。

微博2019全年財報資料顯示，2019年12月，微博月活躍（自然月至少登陸一次）使用者達到5.16億，較上年同期淨增約5400萬。其中，約94%為移動端使用者。

這也意味著，微博的全部使用者或已全部中招。