据默安科技云舒博文称新浪微博泄露5.38亿条用户信息,目前这些泄露的信息正在暗网中以 7000 元的价格出售。
同时云舒还转发截图称部分可以通过昵称查询到部分用户手机号码,这意味着这些泄露的数据真实性可能非常高。
发布者在暗网表示该数据库包含1.72亿条账户信息 , 同时还包括诸如ID、发布的微博数、粉丝数、性别和位置等。
不过云舒的微博发布后就被微博隐藏不能公开查询,云舒表示隐瞒并不能改变真相事实就是很多人的号码被泄露。
针对该安全事件微博安全总监发文表示大部分信息并非微博渠道泄露,而是黑灰产从别的渠道抓取并整合而来的。
在2018年底到2019年曾有灰黑产通过微博接口暴力薅数据 , 即通过枚举号段利用通讯录匹配接口查找用户昵称。
对此微博安全总监承认确实被黑灰产薅走部分用户的数据,但在发现异常后微博团队早已针对相关接口进行封堵。
值得注意的是通过接口暴力匹配实际上是通过手机号码匹配用户昵称,并不能直接通过用户昵称查找对应手机号。
因此暗网中售卖的数据库应该是经过整理对应用户昵称与手机号,然后提供昵称查询服务可以匹配出用户手机号。
部分接口泄露另有部分撞库而来:
对于上亿用户信息泄露微博官方是不认可的,因为在此前的薅数据行动中黑灰产实际匹配的数据为几百万个昵称。
因为暗网中售卖的数据库绝大多数数据应该并不是来自微博,就以往类似情况来看多半是通过撞库匹配账号密码。
云舒在微博中也表示他只说数据泄露也并没有说是拖库,拖库通常指的是直接从数据库里把整个数据库下载下来。
加之这份数据库售价比较低因此极有可能是黑灰产通过撞库等方式收集信息然后整合而成,而且可能是很早的事。
速搜资源网 , 版权所有丨如未注明 , 均为原创丨转载请注明原文链接:传新浪微博泄露5.38亿条信息在暗网标价出售 官方回应称并非微博渠道泄露
