摘要： 近期，微博發(fā)生用戶(hù)數(shù)據(jù)泄露事件，引發(fā)監(jiān)管層問(wèn)詢(xún)約談。新京報(bào)記者調(diào)查發(fā)現(xiàn)，實(shí)際上，被泄露的不止微博用戶(hù)數(shù)據(jù)，在黑灰產(chǎn)交易平臺(tái)上還可以查詢(xún)到QQ、貼吧甚至LOL游戲賬號(hào)的用戶(hù)數(shù)據(jù)信息。...

近期，微博發(fā)生用戶(hù)數(shù)據(jù)泄露事件，引發(fā)監(jiān)管層問(wèn)詢(xún)約談。新京報(bào)記者調(diào)查發(fā)現(xiàn)，實(shí)際上，被泄露的不止微博用戶(hù)數(shù)據(jù)，在黑灰產(chǎn)交易平臺(tái)上還可以查詢(xún)到QQ、貼吧甚至LOL游戲賬號(hào)的用戶(hù)數(shù)據(jù)信息。“人肉搜索”已經(jīng)成為了一門(mén)灰色生意，花250元甚至可以根據(jù)名字查到你的戶(hù)口簿信息。

新京報(bào)記者發(fā)現(xiàn)，根據(jù)平臺(tái)、賣(mài)家不同，“人肉搜索”的種類(lèi)、價(jià)格也從數(shù)百元到數(shù)千元不等，而這些信息均來(lái)自于黑灰產(chǎn)人士用于儲(chǔ)備個(gè)人信息的“社工庫(kù)”。

“社工庫(kù)是長(zhǎng)期存在于黑市里的數(shù)據(jù)，來(lái)源很廣泛，有各種信息泄露事件中積累的個(gè)人信息，也有從爬蟲(chóng)網(wǎng)絡(luò)上找得到的一些其他信息。社工庫(kù)及人肉搜索行為觸犯了《網(wǎng)絡(luò)安全法》及其他有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。但對(duì)其的打擊難點(diǎn)在于，這些庫(kù)很多都是歷史信息，已經(jīng)流轉(zhuǎn)多次，很難追尋源頭并封堵。”3月27日，梆梆安全高級(jí)咨詢(xún)專(zhuān)家貝松濤對(duì)新京報(bào)記者表示。

數(shù)據(jù)從何處泄露？

微博：手機(jī)號(hào)碼不來(lái)源于微博 專(zhuān)家：泄露來(lái)自社工庫(kù)

3月19日，微博被曝發(fā)生數(shù)據(jù)泄露。默安科技CTO魏興國(guó)發(fā)布一條微博（目前已刪除）稱(chēng)，通過(guò)技術(shù)查詢(xún)發(fā)現(xiàn)不少人手機(jī)號(hào)已經(jīng)泄露。3月20日，新京報(bào)記者調(diào)查發(fā)現(xiàn)，在多個(gè)網(wǎng)絡(luò)平臺(tái)上確實(shí)出現(xiàn)了相關(guān)的數(shù)據(jù)買(mǎi)賣(mài)，只要繳費(fèi)即可通過(guò)微博賬號(hào)查詢(xún)到用戶(hù)的手機(jī)號(hào)碼及其他更詳細(xì)個(gè)人私密信息。

對(duì)于這次用戶(hù)數(shù)據(jù)泄露，微博方面對(duì)新京報(bào)記者表示，外部流傳的“微博用戶(hù)資料庫(kù)”中的手機(jī)號(hào)碼并不來(lái)源于微博，而是黑客從其他渠道非法獲取，再通過(guò)微博相關(guān)接口批量上傳手機(jī)通訊錄匹配賬號(hào)昵稱(chēng)。黑客同時(shí)利用非法獲取的手機(jī)號(hào)在其他渠道獲取信息，組成所謂的“微博用戶(hù)資料庫(kù)”對(duì)外出售。

3月24日，工信部在官網(wǎng)發(fā)布消息稱(chēng)，針對(duì)媒體報(bào)道的新浪微博因用戶(hù)查詢(xún)接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問(wèn)題，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)新浪微博相關(guān)負(fù)責(zé)人進(jìn)行了問(wèn)詢(xún)約談，要求其按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)要求，對(duì)照工信部等四部門(mén)制定的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，進(jìn)一步采取有效措施，消除數(shù)據(jù)安全隱患。并要求微博盡快完善隱私政策，規(guī)范用戶(hù)個(gè)人信息收集使用行為，強(qiáng)化用戶(hù)查詢(xún)接口風(fēng)險(xiǎn)控制等安全保護(hù)策略等。

新京報(bào)記者注意到，工信部與微博都提到了“接口”。那么，什么是“接口”？其在此次信息泄露中起到了什么作用呢？

貝松濤表示，App的用戶(hù)查詢(xún)接口指的是一個(gè)應(yīng)用系統(tǒng)可能開(kāi)放了某個(gè)API（應(yīng)用程序接口），來(lái)做個(gè)人信息的查詢(xún)，這種API很關(guān)鍵，需要加強(qiáng)安全保護(hù)。對(duì)發(fā)起的請(qǐng)求方做身份驗(yàn)證，IP地址鑒別、證書(shū)校驗(yàn)都是可選的安全方式。

熟悉黑產(chǎn)運(yùn)作方式的人士李環(huán)（化名）告訴記者，使用App賬號(hào)反查用戶(hù)身份的一個(gè)關(guān)鍵環(huán)節(jié)是，取得賬號(hào)與注冊(cè)手機(jī)號(hào)的對(duì)應(yīng)關(guān)系，此后再通過(guò)手機(jī)號(hào)與身份證的對(duì)應(yīng)關(guān)系確定用戶(hù)身份，其中，手機(jī)號(hào)與身份的對(duì)應(yīng)關(guān)系并非App泄露，但賬號(hào)與手機(jī)號(hào)的對(duì)應(yīng)關(guān)系極有可能是通過(guò)App開(kāi)放的接口獲得。

李環(huán)舉例稱(chēng)，此前微博與脈脈就曾因接口問(wèn)題“鬧崩”：脈脈在和微博合作期間，脈脈用戶(hù)可以在該App的“一度人脈”功能中直接看到非脈脈用戶(hù)的微博頭像和名稱(chēng)，這正是微博向脈脈開(kāi)放了其API接口。后來(lái)微博提起訴訟，認(rèn)為脈脈存在非法抓取、使用微博用戶(hù)信息，非法獲取并使用脈脈注冊(cè)用戶(hù)手機(jī)通訊錄聯(lián)系人與微博用戶(hù)的對(duì)應(yīng)關(guān)系等行為，雙方對(duì)簿公堂，最終微博方面勝訴。

此外，新京報(bào)記者發(fā)現(xiàn)包括微博在內(nèi)，不少App都會(huì)要求用戶(hù)開(kāi)啟通訊錄權(quán)限。對(duì)此，貝松濤表示，開(kāi)啟通信錄權(quán)限只是獲取用戶(hù)的聯(lián)系人信息，和賬號(hào)與手機(jī)號(hào)對(duì)應(yīng)本身沒(méi)有必然關(guān)系。但是通過(guò)獲取聯(lián)系人信息，得到了手機(jī)號(hào)和姓名的對(duì)應(yīng)，黑客再根據(jù)姓名-賬號(hào)庫(kù)就可以把這些信息關(guān)聯(lián)起來(lái)。“所以獲取通訊錄權(quán)限可能會(huì)助漲這樣的泄露事件發(fā)生。”

有安全人士稱(chēng)，此次微博數(shù)據(jù)泄露事件與用戶(hù)通訊錄權(quán)限的關(guān)系不大，用戶(hù)手機(jī)號(hào)與用戶(hù)真實(shí)身份的聯(lián)系并非從微博泄露，而是來(lái)源于已有的“社工庫(kù)”，真正需要微博負(fù)責(zé)的可能就是其對(duì)接口的安全保護(hù)策略。

在被工信部約談后，微博表示，公司高度重視數(shù)據(jù)安全和個(gè)人信息保護(hù)，針對(duì)此次事件已采取了升級(jí)接口安全策略等措施，后續(xù)將按照工信部要求，落實(shí)企業(yè)數(shù)據(jù)安全主體責(zé)任，切實(shí)做好用戶(hù)個(gè)人信息保護(hù)工作。

貝松濤表示，賬號(hào)和手機(jī)號(hào)的對(duì)應(yīng)關(guān)系，可以由任何一次信息泄露事件引發(fā)，例如過(guò)去發(fā)生過(guò)的華住泄露事件。而一個(gè)人通常都是用同樣的賬號(hào)和手機(jī)號(hào)來(lái)注冊(cè)多個(gè)信息系統(tǒng)。

源頭“社工庫(kù)”？

100元買(mǎi)4G郵箱數(shù)據(jù)，70億條數(shù)據(jù)叫價(jià)2萬(wàn)

那么，包括微博在內(nèi)的各個(gè)平臺(tái)，其泄露的數(shù)據(jù)是如何與用戶(hù)真實(shí)身份聯(lián)系起來(lái)的呢？

3月20日至3月27日，新京報(bào)記者在多個(gè)黑灰產(chǎn)平臺(tái)調(diào)查發(fā)現(xiàn)，提供姓名查詢(xún)身份證，或提供App賬號(hào)查詢(xún)對(duì)應(yīng)手機(jī)號(hào)碼的業(yè)務(wù)已經(jīng)形成了產(chǎn)業(yè)鏈，而根據(jù)平臺(tái)、賣(mài)家的不同，這類(lèi)“人肉搜索”的價(jià)格也不盡相同。

如有黑灰產(chǎn)賣(mài)家提供“全自動(dòng)”的人肉搜索服務(wù)，買(mǎi)家只要支付320元成為VIP就可以享受該人肉搜索服務(wù)，服務(wù)內(nèi)容包括查詢(xún)微博、QQ、貼吧、LOL游戲賬號(hào)的對(duì)應(yīng)手機(jī)號(hào)等信息。

3月20日，新京報(bào)記者為調(diào)查向黑產(chǎn)人士購(gòu)買(mǎi)了價(jià)值約12元人民幣的積分，獲得了201條微博用戶(hù)信息，其中不少信息包括用戶(hù)身份證號(hào)、手機(jī)號(hào)、密碼、生日等私密信息。對(duì)于其提供的微博定向查詢(xún)手機(jī)號(hào)服務(wù)，記者測(cè)試查詢(xún)了3個(gè)已綁定手機(jī)的微博賬號(hào)，結(jié)果有2個(gè)微博賬號(hào)顯示為正確的關(guān)聯(lián)手機(jī)號(hào)碼，其中1個(gè)還給出了微博綁定的QQ等更詳細(xì)的信息，另一個(gè)微博賬號(hào)的查詢(xún)結(jié)果顯示“無(wú)信息”。

李環(huán)告訴記者，能夠查詢(xún)到的信息均來(lái)自于該群組的“社工庫(kù)”，而無(wú)法查詢(xún)到的信息即該“社工庫(kù)”尚未收集到的信息。令人驚訝的是，該社工庫(kù)數(shù)據(jù)量極其龐大，記者隨機(jī)查詢(xún)了10條身份信息，均指向了正確的結(jié)果。

“黑灰產(chǎn)人士在這方面‘深耕’越久，數(shù)據(jù)量就越大，若有足夠耐心的黑灰產(chǎn)人士將歷史上各個(gè)時(shí)期泄露的數(shù)據(jù)都予以收集，其‘社工庫(kù)’的數(shù)據(jù)量會(huì)達(dá)到驚人的地步。‘社工庫(kù)’的擁有者往往是人肉搜索產(chǎn)業(yè)鏈的上游，不少數(shù)據(jù)掮客、私家偵探等查用戶(hù)賬號(hào)密碼或查開(kāi)房記錄時(shí)，其實(shí)都是從這些‘社工庫(kù)’中購(gòu)買(mǎi)信息，再加價(jià)對(duì)客戶(hù)進(jìn)行‘二倒手’售賣(mài)。”李環(huán)表示。

3月25日，新京報(bào)記者從多個(gè)網(wǎng)絡(luò)平臺(tái)上搜索到不少直接售賣(mài)社工庫(kù)數(shù)據(jù)的黑灰產(chǎn)項(xiàng)目，價(jià)格從50元到2萬(wàn)元不等。其中，一個(gè)售價(jià)100元的“老密郵箱數(shù)據(jù)庫(kù)”信息，足足有4個(gè)G，里面全部都是曾經(jīng)泄露過(guò)的用戶(hù)郵箱地址及密碼。對(duì)于這些數(shù)據(jù)的來(lái)源，賣(mài)家表示是“網(wǎng)上收集”的。

記者瀏覽到的數(shù)據(jù)量最大的是一個(gè)號(hào)稱(chēng)包括70億有效數(shù)據(jù)的“已知全部泄露數(shù)據(jù)庫(kù)”。賣(mài)家聲稱(chēng)該數(shù)據(jù)庫(kù)內(nèi)含28.93億條郵箱信息，4.26億條身份證信息，8.27億條手機(jī)信息，售價(jià)2萬(wàn)元人民幣。