微博回應疑似5.38億條數據泄露：不涉及隱私，不影響

（觀察者網 文/張珩）3月19日，原阿里集團安全研究實驗室總監，現任默安科技CTO魏興國發布的一條微博，把微博推上了風口浪尖。

魏興國稱，微博數據泄露了不少用户的手機號，當中涉及不少微博認證的明星、官員、企業家。

對此微博回應表示：“此次數據泄露應該追溯到2018年底，當時，有用户通過微博相關接口通過批量手機批量上傳通訊錄，匹配出幾百萬個賬號暱稱，再加上通過其他渠道獲取的信息一起對外出售。”

微博還稱：“微博一直有提供根據通訊錄手機號查詢微博好友暱稱的服務，用户授權後可以使用該服務。但微博不提供用户性別和身份證號等信息，也沒有‘根據用户暱稱查手機號’的服務。因此這起數據泄露不涉及身份證、密碼，對微博服務沒有影響。此次非法調用微博接口匹配出的信息即為微博賬號暱稱，不涉及其餘隱私數據。”目前微博已經及時強化安全策略，並將不斷強化。

在魏興國發布的微博評論區中，有網友曾經表示，有超過5.38億條微博用户信息在暗網出售，其中1.72億條有賬户基本信息，售價0.177比特幣。涉及到的賬號信息包括用户ID、賬號發佈的微博數、粉絲數、關注數、性別、地理位置等。

目前，魏興國已經將上述微博刪除，並表示數據泄露應該是被人通過接口薅了一些數據。

微博數據泄露

3月19日，微博用户@安全_雲舒發布微博表示：“很多人的手機號碼泄露了，根據微博賬號就能查到手機號……已經有人通過微博泄露查到我的手機號碼，來加我微信了。”

隨後他還稱：“這條被限了，但是隱瞞改變不了真相。事實上就是很多人的手機號碼泄露了，根據微博賬號就能查到手機號，我相信包括明星、企業家、公務員等人在內，也包括我的手機號，也包括來總的，也包括各位的。”（觀察者網注：來總代指微博用户“來去之間”，現實中是微博CEO王高飛）。

魏興國微博

觀察者網查詢發現，微博用户@安全_雲舒實為默安科技CTO，原阿里集團安全研究實驗室總監魏興國，“雲舒”是其在阿里巴巴的花名。

隨後微博認證用户，微博安全總監@羅詩堯也在評論中表示，這是此前數據出現了“撞庫”或“漏水”現象，“多謝關心，每隔段時間就有人在網上賣（數據），每次都會引起一波輿情。”

羅詩堯微博

值得注意的是，羅詩堯所説的撞庫在國內數據安全領域曾經多次發生，12306、京東都曾經是撞庫的受害者。2015年，網易郵箱出現了多達5億用户數據泄露事件，彼時網易聲稱，這是因為網易遭到黑客撞庫所導致。

所謂撞庫是黑客通過收集互聯網已泄露的用户和密碼信息，生成對應的字典表，嘗試批量登陸其他網站後，得到一系列可以登錄的用户。很多用户在不同網站使用的是相同的帳號密碼，因此黑客可以通過獲取用户在A網站的賬户從而嘗試登錄B網址，這就可以理解為撞庫攻擊。

據瞭解，通過這樣的手法，幾乎可以對付任何網站登錄系統，就相當於給自己配了一把“萬能鑰匙”。

而羅詩堯所説的漏水則是指企業某些非核心業務團隊規模小，沒有按照統一規範流程搭建業務，因此出現風險，比如沒有做好關鍵數據隔離、權限分層管控、數據加密存儲等關鍵事項。

本文系觀察者網獨家稿件，未經授權，不得轉載。