新浪微博被約談，因用戶數(shù)據(jù)被嚴(yán)重泄露！

據(jù)工信部官網(wǎng)3月24日消息，3月21日，針對(duì)媒體報(bào)道的新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)新浪微博相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談。

據(jù)悉，工信部要求新浪微博按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)要求，對(duì)照工信部等四部門制定的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，進(jìn)一步采取有效措施，消除數(shù)據(jù)安全隱患。具體要求有：

一是要盡快完善隱私政策，規(guī)范用戶個(gè)人信息收集使用行為；

二是要加強(qiáng)用戶信息分類分級(jí)保護(hù)，強(qiáng)化用戶查詢接口風(fēng)險(xiǎn)控制等安全保護(hù)策略；

三是要加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)安全管理，定期及新業(yè)務(wù)上線前要開展數(shù)據(jù)安全合規(guī)性自評(píng)估，及時(shí)防范數(shù)據(jù)安全風(fēng)險(xiǎn)；

四是要在發(fā)生重大數(shù)據(jù)安全事件時(shí)，及時(shí)告知用戶并向主管部門報(bào)告。

對(duì)此，新浪微博回應(yīng)稱，公司高度重視數(shù)據(jù)安全和個(gè)人信息保護(hù)，針對(duì)此次事件已采取了升級(jí)接口安全策略等措施，后續(xù)將按照工信部要求，落實(shí)企業(yè)數(shù)據(jù)安全主體責(zé)任，切實(shí)做好用戶個(gè)人信息保護(hù)工作。

事件回顧

3月4日，有暗網(wǎng)用戶發(fā)布了一則名為“5.38億微博用戶綁定手機(jī)號(hào)數(shù)據(jù)，其中1.72億有賬號(hào)基本信息”的交易信息，售價(jià)1388美元。其中綁定手機(jī)數(shù)據(jù)包括用戶ID和手機(jī)號(hào)，賬號(hào)基本信息包括昵稱、頭像、粉絲數(shù)、所在地等。

經(jīng)安全圈人士驗(yàn)證，部分測(cè)試數(shù)據(jù)屬實(shí)。

18日晚，默安科技創(chuàng)始人兼CTO云舒發(fā)博提及此事。很快，微博CEO王高飛（@來去之間）回復(fù)稱“是2014年以前網(wǎng)易那次撞庫(kù)的”。

隨后，微博安全總監(jiān)羅詩(shī)堯則解釋稱，此次泄露的手機(jī)號(hào)是“2019年通過通訊錄上傳接口被暴力匹配的，其余公開信息都是網(wǎng)上抓來的”，并表示微博內(nèi)部發(fā)現(xiàn)異常后“馬上堵住了口子”，第一時(shí)間報(bào)了警（相關(guān)微博已被刪除）。

此后，微博對(duì)《AI財(cái)經(jīng)社》表示，此次數(shù)據(jù)泄露應(yīng)該追溯到2018年底。當(dāng)時(shí)，有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄，匹配出幾百萬個(gè)賬號(hào)昵稱，再加上通過其他渠道獲取的信息一起對(duì)外出售。

微博還強(qiáng)調(diào)，微博一直有提供根據(jù)通訊錄手機(jī)號(hào)查詢微博好友昵稱的服務(wù)，但不提供用戶性別和身份證號(hào)等信息，也沒有“根據(jù)用戶昵稱查手機(jī)號(hào)”的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼，對(duì)微博服務(wù)沒有影響。未來微博將不斷強(qiáng)化安全保護(hù)策略。

然而，有安全圈人士發(fā)文稱，在Telegram找到了售賣微博數(shù)據(jù)的一個(gè)自動(dòng)交易機(jī)器人，并成功買到了同事的姓名、手機(jī)號(hào)、QQ號(hào)、微博賬號(hào)密碼、郵箱等，再利用平臺(tái)提供的其他服務(wù)，位置信息、戶籍、地址、身份證號(hào)也都可查。