聽雪落下的聲音

... 這次數據泄露或是由於微博在 2019 年被人通過接口「薅走了一些數據」，而不是所謂的「數據拖庫」。 近日，有用戶發現 5.38 億條微博用戶信息在暗網出售，其中 1.72 億有帳號基本信息。全部數據售價 0.177 比特幣，摺合成人民幣約為 7350 元。據悉，涉及到的帳號信息包括用戶 ID、微博數、粉絲數、關注數、性別、地理位置等。 ... 3 月 19 日，微博名為「安全 _ 雲舒」的用戶轉發微博時稱：「很多人的手機號碼泄露了，根據微博帳號就能查到手機號...... 已經有人通過微博泄露查到我的手機號碼，來加我微信了。」 ... 在其微博留言中，多名微博網友確認手機號泄露。有一名網友留言，「剛剛查了下我的，確實泄露了，電話號碼、身份證、物理地址都正確。」 ... 除了網友手機號，「包括明星、企業家、公務員等人在內」的手機號都被泄露。 據悉，「安全 _ 雲舒」微博的個人主頁顯示，他是默安科技創始人兼 CTO，原阿里集團安全研究實驗室總監。根據 36 氪的求證，這名網友為默安科技 CTO 魏興國。 截至筆者撰文時，「安全 _ 雲舒」發布的 2 條相關微博已經刪除。 1微博回應 針對本次數據泄露事件，微博認證「微博安全總監」的網友羅詩堯在微博中回復稱：多謝關心，每隔段時間就有人在網上賣，每次都會引起一波輿情，本不想回應，這條微博今後還會用得上。 至於本次數據泄露的原因，安全 _ 雲舒稱，這次數據泄露或是由於微博在 2019 年被人通過接口「薅走了一些數據」，而不是所謂的「數據拖庫」。 而羅詩堯回應，「泄漏的手機號是 19 年通過通訊錄上傳接口被暴力匹配的，其餘公開信息都是網上抓來的。」 ... 他還表示，「19 年被刷的部分數據，內部突發現異常後馬上堵住了口子。我們第一時間報了警，取證後把相關信息遞到了警方，同時一直也在追查網上售賣信息的黑灰產。用戶的隱私至關重要，尤其還是涉及到手機號。」 微博方面表示，微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務，用戶授權後可以使用該服務，但微博不提供用戶性別和身份證號等信息，也沒有「根據用戶暱稱查手機號」的服務。2018 年底，有用戶利用微博相關接口通過批量手機批量上傳通訊錄，匹配出幾百萬個帳號暱稱，再加上通過其他渠道獲取的信息一起對外出售。此次非法調用微博接口匹配出的信息為微博帳號暱稱，不涉及身份證、密碼，對微博服務沒有影響。「發現異常後，我們及時加強了安全策略，今後還將不斷強化。」 對於本次數據泄露事件，一名業內安全專家向筆者表示，「對於微博的數據泄露，第一不能輕視，第二也不用太誇大，因為這是我們每年許多數據泄露事件中的一起。現在，隨著所有網際網路公司都在做數字化轉型，其實每一個企業都掌握了大量客戶信息。這些信息如果保護不到位的話，都會出現數據泄露。」 「無論是物理世界，還是數字世界，它都不是 100% 的安全，一定會有各種各樣的風險。數據泄露，其實是數字化世界中非常普遍、需要重視的安全風險之一。」 2原因分析 在今天的網際網路上，數據泄露層出不窮。在 《2019 年數據泄露全年盤點》 中，筆者從公開渠道統計出數據泄露事件一共有 43 件，涉及各行各業。 左耳朵耗子在 極客時間 的《從 Equifax 信息泄露看數據安全》中指出了數據泄露發生的原因： 利用程序框架或庫的已知漏洞。比如，美國徵信機構 Equifax 發生的 1.45 億用戶數據泄露，就是利用 Apache Struts 的已知漏洞； 暴力破解密碼。攻擊者利用密碼字典庫或是已經泄露的密碼來「撞庫」； 代碼注入。通過程式設計師代碼的安全性問題，如 SQL 注入、XSS 攻擊、CSRF 攻擊等取得用戶的權限 ; 利用程序日誌不小心泄露的信息 ; 社會工程學 此外，他還闡述了因數據管理問題而發生的數據泄露，比如只有一層安全、弱密碼、向公網暴露了內部系統、安全日誌被暴露、保存了不必要保存的數據和密碼沒有被合理地散列等。 具體到本次微博的數據泄露，這名資深安全人士指出，根據目前披露的一些信息，在很多社交平臺，它都有根據用戶通訊錄去查找好友的功能。以微博為例，用戶註冊登錄後，它會詢問你是否要匹配通訊錄中的好友。「除了微博，拼多多、京東、抖音都有類似的功能」。 這名資深安全人士說，「微博的數據泄露，很大機率可能是黑灰產的攻擊者利用接口的業務功能考慮不周全或有缺陷的情況，在本地通過腳本或自動化工具去大量生成。」 黑產或灰產會利用手中工具在本地生成大量連續的手機號，利用微博的接口，去匹配微博上面的帳號。通過這種方式，它可以生成你的微博和手機信息的綁定，利用這種綁定去準確定位你的微博。「有了手機號後，可以去匹配一些其他的信息，找到你的 QQ 號、身份證號碼等。匹配到一些信息後，它還可能拿到你的帳戶密碼，然後撞庫找到其他信息。」他說。 簡言之，利用微博，定位到個人、手機號、微博 ID 和 QQ 號。拿到手機號和 QQ 後，再去獲取身份證信息、密碼信息等。 32 個小建議，讓你的數據更安全 對網友而言，我們雖然是個人信息數據的擁有者，但不是數據的控制者。「當我們把信息委託給某一個平臺，那我們其實將主動權交給了對方。」 作為一個普通人，我們可以採取一些舉措去有效地保護個人數據： 在不同平臺設置不同密碼，並在某個固定時間去修改所有密碼。這樣雖然麻煩點，但是好處是，一旦數據泄露，影響面比較小。並且，頻繁修改密碼後，即使發生泄露，信息有效性的時間會比較短； 重要信息分類使用。當獲取服務時，手機要綁定個人信息，要多加注意被綁定的信息。 4專家支 3 招，企業防泄露 無疑，微博的數據泄露給廣大企業敲響了警鐘。當數據成為這個時代的「石油」，它就成為許多人爭奪的對象。 對企業或組織機構而言，它們對數據泄露應採取積極主動的態度，避免數據泄露事件發生。 有安全專家給出了 3 條建議： 1、完善數據安全防護手段 當前，企業對數據安全主要採取防範計算機病毒、網絡攻擊、網絡侵入的網絡邊界防護和終端管控手段，缺少對內容的深度識別或感知技術，並且缺少對敏感數據的全方位治理和安全管理手段。 敏感數據是什麼、存放在什麼位置、流轉經過哪些節點、數據泄露後如何溯源追責，企業都應該採取相應的數據安全產品和技術手段來解決這些問題。 2、建立可落地的行業性數據安全規範和企業數據安全管理制度 最近幾年，數據安全已經被逐步納入國家法規和行業規範中，包括《網絡安全法》、《網絡安全等級保護基本要求 2.0》、《個人信息安全規範》、歐盟《GDPR》等。數據安全已經成為新一代信息安全標準的基本內容。 雖然這些已頒布的法律法規對數據安全和個人信息保護進行了明確立法規定，對各類組織承擔的數據安全保障義務與責任進行明確要求，並保障個人對其個人信息的安全可控。 這位專家表示，「如果上述法規要指導企業落實具體的數據安全保護手段，仍然需要結合具體行業特點，對數據安全防護的技術手段進行明確要求，增強可落實性和可執行性。」 3、提高安全意識，增加對內部數據泄露風險的防護 目前，企業對數據安全的投入，主要是針對外部攻擊的防護，如防火牆、IDS、防病毒軟體等，而這些技術手段很難對內部人員有意或無意的泄露行為進行識別和防護。 調查結果表明，絕大部分的泄露風險來自企業內部，其中郵件外發和網際網路上傳是兩個最方便的數據外傳手段，也是泄露事件發生機率最高的兩個渠道。 因此，企業應加強對內部員工或運維人員的安全意識管理，增加對數據防泄漏產品的投入，實行對內部人員泄露行為的檢測和管控，降低內部人員有意無意的拷貝、外發和上傳等操作帶來的數據泄露風險。

內容簡介

詳細資料

文章來源取自於：

壹讀 https://read01.com/Gm6B2K3.html

博客來 https://www.books.com.tw/exep/assp.php/888words/products/0010580442

如有侵權，請來信告知，我們會立刻下架。

DMCA：dmca(at)kubonews.com

聯絡我們：contact(at)kubonews.com

集集睡不著改善中醫診所信義鄉手抖治療中醫福興體溫控制功能異常治療中醫
線西昏眩中醫推薦 溪州心臟無力感治療有效中醫診所 大家都推薦這間溪湖中醫診所，失眠睡不著改善很多竹塘頭部發麻治療中醫 員林睡眠障礙門診治療有效中醫診所 網友都推薦的南投中醫診所，自律神經失調改善很多線西壓力大改善中醫診所 埔里強迫症看什麼科 最推薦的溪湖中醫診所，自律神經失調改善很多二水四肢麻痺治療中醫 線西胸悶中醫推薦 問診詳細有耐心的溪湖中醫診所，睡眠障礙改善很多