传微博5.38亿条用户信息被泄露 已有公司要求员工及时修改密码

3月19日，微博用户“安全_云舒”称，微博数据库5亿用户数据泄漏，包括用户ID、性别、地理位置、手机号等，更可进一步关联密码、身份证、QQ号、QQ群等真实社交关系。而目前这些泄露信息正在暗网中以 7000 元的价格出售。

而这位爆料者的认证信息为默安科技创始人兼CTO，原阿里集团安全研究实验室总监。根据天眼查数据显示，默安科技成立于2016年4月，CEO聂万泉为原阿里云平台安全总监，COO汪利辉为前阿里巴巴安全应急响应中心负责人。该公司于去年12月11日，完成了由琥珀资本领投的近2亿元B轮融资。

不过，随后微博安全总监发文表示大部分信息并非微博渠道泄露，而是黑灰产从别的渠道抓取并整合而来的。在2018年底到2019年曾有灰黑产通过微博接口暴力薅数据，即通过枚举号段利用通讯录匹配接口查找用户昵称。对此微博安全总监承认确实被黑灰产薅走部分用户的数据，但在发现异常后微博团队早已针对相关接口进行封堵。值得注意的是通过接口暴力匹配实际上是通过手机号码匹配用户昵称，并不能直接通过用户昵称查找对应手机号。因此暗网中售卖的数据库应该是经过整理对应用户昵称与手机号，然后提供昵称查询服务可以匹配出用户手机号。

事实上，这次微博个人信息数据泄漏，最可能的原因是通讯录好友匹配攻击导致的。很多社交app都有通过通讯录匹配好友的功能。攻击者可以伪造本地通讯录来获得手机号到微博用户账号的关联。比如先伪造通讯录有xxxx00001到xxxx010000手机号匹配好友，再伪造xxxx010001到xxxx020000手机号匹配好友，不断列举，就能关联出微博id到手机号的关系。“建议大公司尽量关闭通讯录匹配功能，如果开启，必须对此接口进行各种数据泄漏监测和流控/风控措施。”。

针对此次泄露，不少互联网公司已向员工发出预警，表示为了为了员工和公司的数据安全，员工应及时修改新浪微博密码，并修改与该密码相同的其他平台密码。随着互联网与用户的生发越发紧密，此类泄露造成的伤害恐怕会有很深远的影响。