微博数据疑似大规模泄露是怎么回事 官方回应：不涉及身份证和密码

　　36氪就“数据泄露”一事向微博方面求证，微博官方回复称：

　　1.微博一直提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有“根据用户昵称查手机号”的服务。

　　2.2018年底，有用户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称，不涉及身份证、密码，对微博服务没有影响。

　　3.发现异常后，我们及时加强了安全策略，今后还将不断强化。

　　对于数据泄露的原因，根据魏兴国在微博上的表述，这次事件或是由于微博在2019年被人通过接口“薅走了一些数据”，而不是所谓的“数据拖库”。

　　所谓数据拖库，是指网站遭到入侵后，黑客窃取数据库并将所有数据信息拿走，属于安全领域非常严重的事故。

　　“像微博这样体量的公司，被黑客大规模入侵的概率不大，它们遭遇的应该不是拖库。”一位安全领域的资深人士告诉36氪。

　　上述人士分析称，出现这样的数据泄露现象有两种可能，一种是“撞库”，一种是某些业务出现了“漏水”。

　　其中，“漏水”是指企业某些非核心业务团队规模小，没有按照统一规范流程搭建业务，因此出现风险，比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。

　　而“撞库”则是黑市倒卖数据的一种惯用手段。很多人喜欢将不同网站的密码设置为同一个，一旦你在某个网络安全能力较弱的网站密码被黑客获取，黑客就可以用该密码循环测试其他网站，这种手段就叫“撞库”。

　　“个人信息数据泄漏大多是在应用层/业务这一头泄漏的，一个是内部的大量需要业务上接触数据的业务类员工，一个是对外公开的接口或对合作伙伴的接口。”另一位国内网络安全专家进一步向36氪表示，他从另一种角度阐明了这次事故产生的可能性：

　　这次微博个人信息数据泄漏，最可能的原因是通讯录好友匹配攻击导致的。很多社交app都有通过通讯录匹配好友的功能。攻击者可以伪造本地通讯录来获得手机号到微博用户账号的关联。比如先伪造通讯录有xxxx00001到xxxx010000手机号匹配好友，再伪造xxxx010001到xxxx020000手机号匹配好友，不断列举，就能关联出微博id到手机号的关系。

　　“建议大公司尽量关闭通讯录匹配功能，如果开启，必须对此接口进行各种数据泄漏监测和流控/风控措施。”上述人士对36氪谈到。

　　数据泄露已成为互联网行业典型故事之一。去年11月，Twitter就出现过利用通讯录匹配功能获得百万推特用户账号和手机号的数据泄漏事件，随后 Facebook关闭了这一功能。而国内知名的一次数据泄露数据当属2011年的“CSDN 百万用户信息***”。当年有黑客在网上公开了知名程序员网站CSDN的用户数据库，高达600多万个明文的邮箱账号和密码遭到***。