业内人士认为,微博用户数据遭泄露并不是小事,这是一个大公司的担当问题,一概的推卸责任、不承认错误,只会让用户更失望。若微博不能及时完善安全策略,在用户个人信息安全方面做出强有力的整改,势必将失去大批用户。
微博近期发生的一起数据泄露事件,让“信息安全”这个老生常谈的话题再次成为公众讨论的焦点,也再次将微博推上了舆论的风口浪尖。
据悉,微博在此事曝光后接连做出多番回应,最终被工信部约谈。而在此期间,微博曾数次宣称“不涉及用户身份证密码等”,但最终被媒体的跟踪调查“打脸”;在被工信部约谈后,微博才表示将高度重视数据安全和个人信息保护、采取相应措施保护用户信息安全。
微博在此事前后的处理方式和态度迅速转变,引发外界不满。其中一位网友评论”希望微博直面问题,正式出一份官方声明”被顶上高赞,无疑代表了大多网友的看法。
业内人士认为,微博用户数据遭泄露并不是小事,这是一个大公司的担当问题,一概的推卸责任、不承认错误,只会让用户更失望。若微博不能及时完善安全策略,在用户个人信息安全方面做出强有力的整改,势必将失去大批用户。
“数据泄露”事件引争议,
用户质疑微博安全策略存缺陷
日前,暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,公开售价上千美元。后经安全圈人士验证,这在网络安全圈早已被关注,部分测试数据属实。
该用户称,这些信息“均为2019年年中左右抓取”,并给出400条绑定手机号的测试数据,以及1500条账号基本信息的测试数据。其中绑定手机数据包括用户的ID和手机号,账号信息则包括用户昵称、头像、粉丝数、所在地等。
消息一出,引发人们对于微博安全策略存在一定缺陷的质疑。18日晚,微博认证名为默安科技创始人兼CTO、原阿里集团安全研究实验室总监的网友@安全-云舒提及此事,称微博数据遭到泄露,涉及到用户手机号等个人信息。“很多人的手机号码泄露了,根据微博(WB.US)账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”
据了解,“安全_云舒”确实为默安科技CTO魏兴国的微博账号,“云舒”是其在阿里巴巴的花名。
魏兴国表示,微博数据泄露的信息甚至包含微博CEO王高飞(微博名“来去之间”)。多位用户表示,此则交易信息涉及到的个人数据包括用户ID、手机号、微博数量、粉丝数与关注数、性别、所在地等隐私。
另有用户透露,已发现5.38亿条微博用户信息在暗网出售。其中,1.72亿条有账户基本信息,售价0.177比特币;涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
宣称“不涉及身份证密码”却惨遭打脸
针对网友及魏兴国等业内人士的质疑,微博CEO王高飞在相关评论中回复称,“是2014年以前网易事件撞库的”,微博安全总监罗诗尧也公开表示,“此次泄露的手机号都是2019年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的”。
同时,微博官方回应称,用户授权后即可使用通讯录查询微博好友的昵称。“但微博不提供用户性别和身份证号等信息,也没有根据用户昵称查手机号的服务。因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。同时,也不涉及其余隐私数据。”
总的来说,微博方面一开始对外发声时强调,这不是近期出现的问题,并宣称此次泄露不涉及用户的身份证和密码等信息,对微博服务没有影响。
但“不涉及身份证”的说法很快就被“打脸”。新京报在跟踪调查该事件后发现,在一些外网交易平台上确实出现相关的微博数据买卖,缴费即可通过微博账户查询用户手机号及其他更详细的个人隐私信息,其中就包括用户的身份证号、手机号、密码、生日等私密信息。
这意味着,微博用户的重要信息的确已经遭到泄露,足以表明微博并未很好地尽到保护用户个人信息安全的责任,其安全策略存在一定的问题。
对此,微博安全中心再次回应称,微博泄露属实,这次事件或是由于微博在2019年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”;目前微博已经及时强化安全策略。
被工信部约谈后立刻认错,
微博安全策略亟待完善
随着微博“数据泄露”事件的逐步发酵,此事也引发了监管层的关注。
3月24日,工信部就数据泄露问题对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。
对此,新浪微博表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
记者查询发现,截至目前,新浪微博已删除了所有关于用户数据泄露的相关微博、话题及讨论等。但网友并不认可微博的处理方式,认为其认错态度不诚恳,一直回避安全策略的缺陷。其中一位网友评论”希望微博直面问题,正式出一份官方声明”被顶上高赞,代表了众多网友的看法。
中国信息安全研究院副院长左晓栋指出,“面对此类事件,个人首先需要提高隐私保护的意识,其次平台需要对用户的信息加以保护,最大程度避免信息泄露,减少相继带来的各类违法事件。”
业内人士指出,微博的数据泄露事件并不复杂,但从微博应对危机的作为来看,官方并没有第一时间承认错误,反而采用推诿责任、“顾左右而言他”的回应方式,容易引起大众的不满。
此外,微博用户数据遭泄露并不是小事,这是一个大公司的担当问题,一概的推卸责任、不承认错误,只会让用户更失望。若微博不能及时完善安全策略,在用户个人信息安全方面做出强有力的整改,势必将失去大批用户。