微博5亿用户数据泄露:通讯录匹配机制是罪魁祸首!
近日关于微博5.38亿用户数据信息泄露事件引发热议,而新浪微博官方回应,此次泄漏的手机号是2019年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。
其实,关于通讯录匹配好友功能众多社交软件app均存在,其实并不是社交软件强制要求的,这个是需要用户确认从而查找通讯录中是否存在好友。通讯录数据同步与匹配好友功能虽方便,但确与此次微博数据泄露有关联。
关于此次微博用户信息泄露,新浪微博官方表示已经上报给司法机关,称部分用户使用了和其他平台相同账号密码,可能导致其微博账号面临被盗的风险。
微博信息泄露:通讯录匹配
在社交软件app中,通讯录同步与好友匹配大多是指手机客户端与服务端之间的单向同步。因此,在此次微博数据泄露中,攻击者可以通过伪造本地通讯录来达到获得手机号,进而可以与微博用户账号进行关联,通过不断的匹配与列举,就能关联出微博 id 到手机号的关系。
例如可以首先伪造通讯录有 xxxx00001 到 xxxx010000 手机号匹配好友,再伪造 xxxx010001 到 xxxx020000 手机号匹配好友,在不断列举中总能得到微博 id 到手机号的关系。
此外,微博数据泄露除去与通讯录接口遭受暴力匹配有关,可能还与以前网易撞库事件有关。
网易撞库是在2015年,网易邮箱出现了多达5亿用户数据泄露事件,而网易,这是因为网易遭到黑客撞库所导致。其实撞库事件增多次发生,12306、京东都发生过撞库事件。
所谓撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
由此可见,通过撞库攻击这样的手段,黑客几乎是拥有万能钥匙在手,可以对任何网站的登陆系统操作自如。
微博数据泄露:漏水
除去通讯录匹配,漏水也是微博数据泄露的原因之一,这个主要是是针对一些企业而言的。
漏水是至企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、权限分层管控、数据加密存储等关键事项。
虽然新浪微博对信息泄露事件做出回应,但是仍然引起用户的质疑以及担忧,因为暗网出售的信息包括了性别、位置等无法通过 API 匹配通讯录返回的非公开信息,对于非公开信息数据的来源仍然引发很多担忧。
毕竟,身处在移动互联时代,手机在我们的生活中扮演这非常重要的角色,社交软件更是重中之重,信息时代朋友的沟通都是通过社交软件来实现的。但数据时代,用户隐私信息与社交软件息息相关,因此,除了用户需要采取定期更换密码等措施之外,社交软件平台也存在不可推卸的责任。
点击查看往期内容回顾
微博5.38亿用户信息暗网可查?如何避免泄露?
百度私密分享文件被挂网?敲黑板注意这些事,避免泄露风险
长按二维码,关注我们
新睿云,让云服务触手可及
云主机|云存储|云数据库|云网络
微博5亿用户数据泄露:通讯录匹配机制是罪魁祸首!相关推荐
- 爱尔兰DPC针对Facebook 5.33亿用户数据泄露事件开展调查
爱尔兰数据保护委员会(the Irish Data Protection Commission,DPC)正在审查Facebook最近的一次数据泄露事件,该事件包含了106个国家约5.33亿人的个人数据 ...
- 面对1.3 亿用户数据泄露,企业如何围绕核心数据构建安全管理体系?
大表哥 helen 再次重现江湖,并且带来不断的惊喜~~~ 据 FreeBuf 报道,8 月 28 日早上 6 点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,数据标价 8 个比特币,约 ...
- 罗永浩宣布进军电商直播;微博回应用户数据泄露;Android 11 开发者预览版 2 发布 | 极客头条...
整理 | 屠敏 头图 | CSDN 下载自视觉中国 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦, ...
- 安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...
Checkmarx 对安卓漏洞的披露与讲解 继 iOS 版 Facebook 曝出重大漏洞,出现让 App 能在后台调用相机的情况后(目前该漏洞已经修复),Android 阵营也出现类似情况. 安卓 ...
- 大数据变现实践:微博百亿营收背后的数据挖掘技术
来源:DBAplus社群(dbaplus) 数据猿官网 | www.datayuan.cn 今日头条丨一点资讯丨腾讯丨搜狐丨网易丨凤凰丨阿里UC大鱼丨新浪微博丨新浪看点丨百度百家丨博客中国丨趣头条丨腾 ...
- 全球安全资讯精选 2017年 第七期: Equifax 泄漏 1.43 亿用户数据
游戏安全资讯精选 摘要: 游戏账号窃取日益猖獗,2017世界物联网博览会IoT安全观点 [每周游戏行业DDoS态势] [游戏安全动态] 游戏账号窃取日益猖獗,游戏运维人员如何做好防范?点击查看原文 概 ...
- 明文存密码成惯例?Facebook 6 亿用户密码可被 2 万员工直接看
近日,外媒发布了一份互联网安全的调研报告,报告中称Facebook曾将6亿用户的账号密码使用明文存储,且可以被Facebook内部员工随意搜索查看.据Facebook方面的消息人士称,纯文本存档的用户 ...
- 40亿骚扰电话拨出,6亿用户隐私泄露,央视315曝光AI黑暗面
一璞 问耕 假装发自 凹非寺 量子位 出品 | 公众号 QbitAI 人工智能.大数据,登上了今年的央视3.15. 一切都与令人不胜其烦的骚扰电话有关.而且,这次央视的曝光让更多人了解到,给你打骚扰电 ...
- 10亿用户之后,为什么是百度率先打破花园围墙?
文|李永华 来源 | 螳螂财经(ID:TanglangFin) 自从去年10月QuestMobile发布的报告中提到百度系产品用户规模突破10亿,BAT在"10亿俱乐部"再聚首,成 ...
最新文章
- 当区块链遇到零知识证明
- mask-conditional contrast-GAN
- Java计时器Timer和TimerTask用法总结(源码)
- QQ音乐的各种相关API
- 【基础】pandas中apply与map的异同
- java arguments_命令行中执行带参数的java程序(Command-Line Arguments)
- 【Python】正则表达式使用、常用匹配表达式
- IOS关于键盘的弹出和收起
- 专访Vue作者尤雨溪:Vue CLI 3.0重构的原因
- 1799元!OPPO A9悄然上架:4月30日正式开售
- python 自动化 在日历中选择时间-python – 在日历日期选择器上使用selenium
- Java NPOIFSFileSystem.getRoot方法代碼示例
- java treemap get_java.util.TreeMap.get()
- 运筹学_单纯形法_week3
- 各种数据传输总线的传输速率是多少?这些速率是如何计算出来的?数据传输的速率单位有哪些以及有哪些区别?Bps,bps,Byte/s,bit/s,kbps等等
- 剪不断理还乱--C#重载/重写/覆盖
- windows下虚拟串口软件VSPD
- 【xla】六、【构图阶段】xlaRunOp
- NLP从入门到实战(一)
- 计算机网络中m的含义,宽带中的“M(兆)”是什么意思?