3月24日,工信部网站发布消息,3月21日,因新浪微博被爆出用户查询接口被恶意调用导致App数据泄露问题,工信部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其进一步采取有效措施,消除数据安全隐患。



一位金融行业的安全工程师告诉澎湃新闻(www.thepaper.cn)记者,在暗网发布“5.38亿微博用户绑定手机号数据”的卖家最后在线时间是3月24日,目前该商品的成交量是0单,无人下单。“卖家已经警惕,在暗网上,商品页面标注了‘当前交易处于修正中,暂时不能交易’。”该安全工程师说。


对于工信部的约谈,新浪微博方面表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。


暗网无人交易,Telegram查询火热


“微博数据泄露”的讨论起源是,3月19日,微博网友@安全_云舒转发一条微博(已删除)称:“很多人的手机号被泄露,根据微博账号就能查找手机号,相信包括明星、企业家、公务员等人在内,也包括我的手机号,来总的(微博CEO 王高飞),也包括各位的。”


随后媒体爆出,在暗网上,有人以“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的名义,对个人信息进行售卖。同时,Telegram也在售卖隐私数据,用户通过比特币/ETH数字货币充值后,可以利用微博ID反查出手机号码。


“Telegram并非暗网,但里面是匿名且使用虚拟货币交易,在微博数据被指泄露之后,过来测试凑热闹的人变多了。”另一位互联网企业的安全专家告诉澎湃新闻记者,加入Telegram平台的社工群后,提供查询服务的是机器人,用户既可以根据微博ID查询手机号码,也可以根据姓名、身份证号、QQ来查询。


“社工库可以认为是所有已泄露数据的集合,在这个库里,微博昵称并不是唯一的查询方式,不过,姓名查询更不正确,因为存在重名的情况。”该人士说,但对于陌生人而言,他可以先通过微博ID匹配出你的手机号,再利用手机号进一步关联查询,匹配出更多的信息。当关联信息足够多,一个虚拟世界“完整的你”就很可能被匹配出来。


3月23日,上述两位安全人士对Telegram上的数据做查询测试,其中一位通过微博ID,在Telegram上成功查询到自己及记者的手机号码。另一位安全专家则以自己为例进行查询,结果显示并不准确,匹配出的信息并非自己的个人信息。


相较于Telegram的火热,暗网的帖子则“看的多,买的少”。


3月5日,国内的一些安全公司通过监控,发现暗网上有人兜售微博用户数据的帖子,这条暗网帖子在近日微博爆出用户数据泄露后进一步发酵。





暗网上关于兜售微博用户数据的帖子


“暗网上,5.38亿微博用户绑定手机号数据的售价约合1900美元,商品页面上是一些数据库的字段信息,比如,userid是用户的唯一标志号码,类型为text,phone代表手机号,此外,还有微博数、粉丝数、关注数、等级、性别、地理等基本信息字段,但这些并非关键信息。”上述金融行业的安全工程师告诉澎湃新闻记者,截至3月24日,该帖子的交易量依然为“0”,页面提示限制交易。


对于能否通过微博ID匹配出名人企业家的手机号码,这位金融行业的安全工程师告诉澎湃新闻记者:“没有必要,早在2018年10月,暗网上就有人降价处理全国17万董事长的信息,数据字段则包括姓名、职位、电话和公司名称。为了取得买家信任,董明珠、雷军、马化腾等人的手机号被明文列出,不用花钱就看得到,这个帖子依然在暗网挂着。”


微博用户昵称曾被批量匹配


按照新浪微博方面3月21日的说法,自2011年以来,微博一直提供查询通讯录好友微博昵称的服务,用户授权后可以使用该服务。但用户仅能查询到相关账号昵称,也可以随时取消授权。此前黑客通过手机号比对服务获得多个平台的用户信息,例如通讯录好友微博昵称、QQ号、邮箱等,并抓取微博用户个人主页上的公开数据,以“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的名义进行售卖。对此,微博已加强安全策略,并将详细情况上报给司法机关。


新浪微博方面人士告诉澎湃新闻,并非微博泄露数据,而是灰产非法窃取手机号后,又非法调用了微博数据。“理论上,如果你知道一个手机号,也可以通过查找功能,找到这个人的微信和QQ号,但不能说是微信和QQ泄露了他的手机号,在这件事上,微博也是受害者。”


据了解,在2018年底,曾有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。


对此,极棒实验室安全研究员宋宇昊告诉澎湃新闻记者,如果按照微博所述,黑产是通过大数据的方式,将不同渠道泄露的信息关联汇总,那么微博的失责在于泄露了昵称与手机号的关联,导致黑产拿到这些信息后,进一步关联到其他渠道泄露的隐私信息,这完全是在微博的控制范围以外了。“需要提醒的是,对于平台来说,需要严格保护好用户隐私,即使昵称手机号关联不算很敏感的个人信息,在泄露后通过黑产大数据也会导致严重的后果。” 宋宇昊说。


上述不愿具名的金融业安全工程师也告诉澎湃新闻记者,虽然目前尚不能确定微博是隐私数据泄露源,但确实没有保护好用户数据。


“道理很简单,有人拿少量的手机号码来匹配微博昵称,你可以说自己是受害者,但当别人用上百万、千万的手机号码来匹配昵称,如此令人吃惊的数量级,难道微博的风控没有发现。”这位金融业工程师告诉记者,最终受害者还是普通用户。


企业应对网络攻击及信息泄密行为,提升网络安全加密保护文件方法

大势至电脑文件防泄密系统(下载地址: https://www.dashizhi.com/products_technology/products/13.html)是大势至软件公司经过多年在企业网络管理、局域网安全防护深耕细作、日积月累的技术结晶,一经推出便以各项优势先进国内同类产品。具体使用说明如下:
有鉴于此,大势至(北京)软件工程有限公司实时推出了可以有效控制电脑USB口使用、防止电脑随意使用优盘的“大势至电脑文件防泄密系统”。大势至电脑文件防泄密系统是一款适用于Windows操作系统的USB设备监控管理软件。该软件适用于企业、政府、军队、广告公司、设计单位等对信息安全性有特殊要求的机构,主要用于防止外部或内部人员有意或随意使用U盘、移动硬盘等USB移动存储设备拷贝内部机密信息而给单位带来的重大损失,达到有效保护单位商业机密的目的。如下图所示:

搜狗截图22年09月27日1646_2.png

图:大势至电脑文件防泄密系统界面
 

系统功能

系统主要提供了以下核心功能:


a、全面监控USB存储设备的使用
 

》禁止电脑连接一切USB存储设备,包括:优盘、移动硬盘、手机、平板等,不影响USB鼠标、键盘、加密狗等。

》设置特定U盘,即电脑只能识别白名单列表中的U盘。同时还可以对特定U盘进行二次权限设置。

》只允许从U盘向电脑拷贝文件,禁止电脑向U盘拷贝文件,或只允许电脑向U盘拷贝文件,禁止U盘向电脑拷贝文件。

》 密码权限设置。设置从电脑向U盘、移动硬盘拷贝文件时需要输入管理员密码。

》禁用CD/DVD光驱、禁止光驱刻录功能,但是允许光驱读取、禁用软驱。

》监控USB存储设备拷贝记录。详细记录U盘拷贝电脑文件时的日志,包括拷贝时间、文件名称等。

b、全面防止网络途径泄密的行为

》禁止聊天软件泄密。设置特定QQ、允许QQ聊天但禁止传文件、禁止QQ群传文件、禁止微信传文件等。

》禁止邮箱外传文件。禁止登录一切邮箱、允许登录特定邮箱、只允许收邮件禁止发送邮件等。

》禁止网盘向外传文件。禁止使用一切网盘、云盘,也可以设置使用特定网盘、云盘等。

》程序黑白名单管理。设置禁止运行的程序列表,或者设置只允许运行的程序列表。

》网页黑白名单管理。设置禁止打开的网址名单,或者设置只允许打开的网址名单。

》禁止登录论坛、博客、贴吧、空间等,禁止使用FTP上传文件、禁止手机和电脑通过网络互传文件等。

c、操作系统底层防护

》禁用注册表、禁用设备管理器、禁用组策略、禁用计算机管理、禁用任务管理器、禁用Msconfig、禁用安全模式、禁用光盘启动电脑、禁用红外、禁用串口/并口、禁用1394、禁用PCMCIA、禁用调制解调器

》禁用U盘启动电脑、禁用DOS命令、禁用格式化和Ghost、禁止修改IP/Mac、屏蔽PrtScn、屏蔽Esc键、屏蔽剪贴板、禁止网络共享、禁止查看进程、屏蔽Win键、屏蔽Ctrl+Alt+A键、禁用Telnet、开机系统自动隐藏运行

》设置全局白名单、禁止局域网通讯、禁用虚拟机、禁止创建用户、禁用有线网卡、禁用无线网卡、禁止安装随身WIFI、禁用蓝牙、登录密码设置、软件唤出热键管理、安装目录权限管理、UAC管理、恢复管理

》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等,防止各种手段绕过系统监控的情况。