據(jù)工信部官網(wǎng)3月24日消息,3月21日,針對(duì)媒體報(bào)道的新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)新浪微博相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談。
據(jù)悉,工信部要求新浪微博按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)要求,對(duì)照工信部等四部門制定的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》,進(jìn)一步采取有效措施,消除數(shù)據(jù)安全隱患。具體要求有:
一是要盡快完善隱私政策,規(guī)范用戶個(gè)人信息收集使用行為;
二是要加強(qiáng)用戶信息分類分級(jí)保護(hù),強(qiáng)化用戶查詢接口風(fēng)險(xiǎn)控制等安全保護(hù)策略;
三是要加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)安全管理,定期及新業(yè)務(wù)上線前要開展數(shù)據(jù)安全合規(guī)性自評(píng)估,及時(shí)防范數(shù)據(jù)安全風(fēng)險(xiǎn);
四是要在發(fā)生重大數(shù)據(jù)安全事件時(shí),及時(shí)告知用戶并向主管部門報(bào)告。
對(duì)此,新浪微博回應(yīng)稱,公司高度重視數(shù)據(jù)安全和個(gè)人信息保護(hù),針對(duì)此次事件已采取了升級(jí)接口安全策略等措施,后續(xù)將按照工信部要求,落實(shí)企業(yè)數(shù)據(jù)安全主體責(zé)任,切實(shí)做好用戶個(gè)人信息保護(hù)工作。
事件回顧
3月4日,有暗網(wǎng)用戶發(fā)布了一則名為“5.38億微博用戶綁定手機(jī)號(hào)數(shù)據(jù),其中1.72億有賬號(hào)基本信息”的交易信息,售價(jià)1388美元。其中綁定手機(jī)數(shù)據(jù)包括用戶ID和手機(jī)號(hào),賬號(hào)基本信息包括昵稱、頭像、粉絲數(shù)、所在地等。
經(jīng)安全圈人士驗(yàn)證,部分測(cè)試數(shù)據(jù)屬實(shí)。
18日晚,默安科技創(chuàng)始人兼CTO云舒發(fā)博提及此事。很快,微博CEO王高飛(@來去之間)回復(fù)稱“是2014年以前網(wǎng)易那次撞庫(kù)的”。
隨后,微博安全總監(jiān)羅詩(shī)堯則解釋稱,此次泄露的手機(jī)號(hào)是“2019年通過通訊錄上傳接口被暴力匹配的,其余公開信息都是網(wǎng)上抓來的”,并表示微博內(nèi)部發(fā)現(xiàn)異常后“馬上堵住了口子”,第一時(shí)間報(bào)了警(相關(guān)微博已被刪除)。
此后,微博對(duì)《AI財(cái)經(jīng)社》表示,此次數(shù)據(jù)泄露應(yīng)該追溯到2018年底。當(dāng)時(shí),有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄,匹配出幾百萬個(gè)賬號(hào)昵稱,再加上通過其他渠道獲取的信息一起對(duì)外出售。
微博還強(qiáng)調(diào),微博一直有提供根據(jù)通訊錄手機(jī)號(hào)查詢微博好友昵稱的服務(wù),但不提供用戶性別和身份證號(hào)等信息,也沒有“根據(jù)用戶昵稱查手機(jī)號(hào)”的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼,對(duì)微博服務(wù)沒有影響。未來微博將不斷強(qiáng)化安全保護(hù)策略。
然而,有安全圈人士發(fā)文稱,在Telegram找到了售賣微博數(shù)據(jù)的一個(gè)自動(dòng)交易機(jī)器人,并成功買到了同事的姓名、手機(jī)號(hào)、QQ號(hào)、微博賬號(hào)密碼、郵箱等,再利用平臺(tái)提供的其他服務(wù),位置信息、戶籍、地址、身份證號(hào)也都可查。