新浪微博被約談，因用戶數(shù)據(jù)被嚴(yán)重泄露！

據(jù)工信部官網(wǎng)3月24日消息，3月21日，針對媒體報道的新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對新浪微博相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談。

據(jù)悉，工信部要求新浪微博按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等法律法規(guī)要求，對照工信部等四部門制定的《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》，進(jìn)一步采取有效措施，消除數(shù)據(jù)安全隱患。具體要求有：

一是要盡快完善隱私政策，規(guī)范用戶個人信息收集使用行為；

二是要加強(qiáng)用戶信息分類分級保護(hù)，強(qiáng)化用戶查詢接口風(fēng)險控制等安全保護(hù)策略；

三是要加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)安全管理，定期及新業(yè)務(wù)上線前要開展數(shù)據(jù)安全合規(guī)性自評估，及時防范數(shù)據(jù)安全風(fēng)險；

四是要在發(fā)生重大數(shù)據(jù)安全事件時，及時告知用戶并向主管部門報告。

對此，新浪微博回應(yīng)稱，公司高度重視數(shù)據(jù)安全和個人信息保護(hù)，針對此次事件已采取了升級接口安全策略等措施，后續(xù)將按照工信部要求，落實企業(yè)數(shù)據(jù)安全主體責(zé)任，切實做好用戶個人信息保護(hù)工作。

事件回顧

3月4日，有暗網(wǎng)用戶發(fā)布了一則名為“5.38億微博用戶綁定手機(jī)號數(shù)據(jù)，其中1.72億有賬號基本信息”的交易信息，售價1388美元。其中綁定手機(jī)數(shù)據(jù)包括用戶ID和手機(jī)號，賬號基本信息包括昵稱、頭像、粉絲數(shù)、所在地等。

經(jīng)安全圈人士驗證，部分測試數(shù)據(jù)屬實。

18日晚，默安科技創(chuàng)始人兼CTO云舒發(fā)博提及此事。很快，微博CEO王高飛（@來去之間）回復(fù)稱“是2014年以前網(wǎng)易那次撞庫的”。

隨后，微博安全總監(jiān)羅詩堯則解釋稱，此次泄露的手機(jī)號是“2019年通過通訊錄上傳接口被暴力匹配的，其余公開信息都是網(wǎng)上抓來的”，并表示微博內(nèi)部發(fā)現(xiàn)異常后“馬上堵住了口子”，第一時間報了警（相關(guān)微博已被刪除）。

此后，微博對《AI財經(jīng)社》表示，此次數(shù)據(jù)泄露應(yīng)該追溯到2018年底。當(dāng)時，有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄，匹配出幾百萬個賬號昵稱，再加上通過其他渠道獲取的信息一起對外出售。

微博還強(qiáng)調(diào)，微博一直有提供根據(jù)通訊錄手機(jī)號查詢微博好友昵稱的服務(wù)，但不提供用戶性別和身份證號等信息，也沒有“根據(jù)用戶昵稱查手機(jī)號”的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼，對微博服務(wù)沒有影響。未來微博將不斷強(qiáng)化安全保護(hù)策略。

然而，有安全圈人士發(fā)文稱，在Telegram找到了售賣微博數(shù)據(jù)的一個自動交易機(jī)器人，并成功買到了同事的姓名、手機(jī)號、QQ號、微博賬號密碼、郵箱等，再利用平臺提供的其他服務(wù)，位置信息、戶籍、地址、身份證號也都可查。