信息安全

任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
——《民法典》第1032条

前言

最近在网络上看到一条接口,只要输入QQ号码就能获取到该QQ号的密保手机,本着求真的心态,我输入了自己的QQ,结果真查询到了自己的手机号,并且这个手机号我一直在使用。平常我们可能会用到使用手机号查询QQ号,但是绝不可能使用正常手段通过QQ号来查询到陌生人的手机号。

经过进一步搜索,这些数据大概率是20年11月泄漏出来的,与此同时,另一条查询接口也引起我的注意,其称可以通过微博id查询80%的用户的绑定手机,我查询了我的id之后查询到了自己16年使用的手机号,显然这微博数据的泄漏危害相对于QQ有过之无不及。要知道微博上有各行各业的人士,他们的微博id都是公开可见的,也就相当于他们的手机号都已泄漏。微博方面也对这次事件作出过回应:

  • 微博安全总监罗诗尧回应称:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”

微博一直有一个功能,可以说绝大部分社交软件都有这个功能,通过通讯录查找已注册的好友,灰产人士利用该接口的漏洞在2018年底,通过批量手机批量上传通讯录,匹配出几百万个账号昵称,然后跟之前在网络上爬取的数据做整合一同发布售卖。
新京报对微博的数据泄漏发过一篇文章:

摘录

此次疑似信息泄露事件引起公众关注,始于3月19日默安科技CTO魏兴国发布的一条微博(目前已删除),魏兴国称,通过技术查询发现不少人手机号已经泄露。对于这次用户数据泄露,微博方面公开回应称,此次数据泄露应该追溯到2018年底。当时,有用户利用微博相关接口通过手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。微博表示,其一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有根据用户昵称查手机号的服务。这起数据泄露不涉及身份证、密码,对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及其余隐私数据。“目前微博已经及时强化安全策略,并将不断强化。”新京报记者发现,在暗网与Telegram平台确实有关于微博用户数据的交易帖。其中,有暗网用户于3月4日发布了一条名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元。

原文链接:微博泄露5亿用户数据?实测:12元买201条用户信息

以前总觉得数据泄漏离自己很远,泄漏的都是具有社会影响力的明星演员等等,后来才发现我们每一个人都是真真切切的数据泄漏受害者。

泄漏事件

盘点2021年数据泄露勒索大事件

1、5.33亿Facebook 用户数据被泄露

4月,据外媒报道,有5.33亿Facebook用户的个人数据在黑客论坛上被泄露,包括用户的个人信息,如FacebookID、全名、地点、出生日期、电子邮件地址以及用户可能在个人资料中输入的其他内容。

2、7亿领英用户数据被出售

6月底,研究人员发现有超过7亿领英用户数据在暗网出售,是领英史上最大规模的数据泄露事件。由于领英官方声称有7.56亿用户,也就是说约有92%的领英用户可以在该泄露的数据库中检索到个人信息。此外,研究人员警告称,利用记录中提供的邮件地址,黑客可能试图使用各种常见密码字符的组合来访问用户的账户,获取邮件中的内容。

3、疑似超2亿国内个人信息在国外兜售

1月5日,国外安全研究团队Cyble发现多个帖子正在出售与中国公民有关的个人数据,经分析可能来自微博、QQ等多个社交媒体,帖子中与中国公民有关的记录总数超过2亿。

4、国内某银行疑似泄露数据1679万条

1月8日,有人在某国外论坛中发帖售卖国内某银行 1679 万笔数据,并放出部分数据样本,数据包括名字、性别、卡号、身份证号、手机号码、所在城市、联系地址、工作单位、邮编、工作电话、住宅电话、卡种、发卡行等等。

5、315曝光人脸信息滥用等乱象

央视315曝光三个涉及个人信息安全案例:商家安装摄像头捕捉记录顾客人脸信息,多门店共享并进行综合报价;智联招聘、猎聘等平台简历给钱就可随意下载,大量简历流入黑市;许多针对老年人开发的手机清理App背地里不断获取手机信息,并推送带有欺骗套路的内容。

6、滴滴违规收集用户个人信息

7月2日,国家网信办发布公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。7月4日晚,国家网信办发布通报称,根据举报,经检测核实,“滴滴出行”App 存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App。

7、小鹏汽车擅自采集上传 43 万张人脸照片

据行政处罚决定书显示,上海小鹏汽车销售服务有限公司购买了具有人脸识别功能的摄像设备 22 台,全部安装在旗下门店,涉及5个直营店及2个加盟店,开通系统账号8个,2021年1月至6月期间,共计采集上传人脸照片431623张。通过算法对面部数据进行识别计算,以此进行门店的客流统计和客流分析,包括进店人数统计、男女比例、年龄分析等。采集消费者面部识别数据,并未经得消费者同意,也无明示、告知消费者收集、使用目的。

在闪捷信息安全与战略研究中心 2022年3月的《2021数据泄漏态势分析报告》中显示

个人信息泄漏最严重的是互联网行业,古比为 27%。除了涉及社交网站、在线招聘网站、数宇营销公司、约会网站、电商网站等,还包括以互联网形式运作的教育、金融等企业和组织机构。互联网行业内部,各企业对数据安全的态度差异明显,井且只有少数头部企业能够在数据安全方面有实质性的投入。由于互联网行业的特殊性,该行业既是个人信息泄漏的受害者,同时(其中个别企业)也在一定程度上加剧了数据泄漏。

医疗行业的个人信息泄漏占比达到 20%。这说明医疗行业的个人信息仍然保持着巨
大的吸引力。2021年 10月,美国 Broward Health 公共卫生系统披露了一起大规模数据
泄漏事件,影响到 1357879 人。Broward Health 是一个位于佛罗里达州的医疗系统,有
三十多个地点提供广泛的医疗服务,每年接收超过60000 名入院病人。此次泄漏的数据
包括全名、出生日期、实际地址、电话号码、财务或银行信息、社会安全号码、保险信息和
账户号码、医疗信息和历史、病情、治疗和诊断、驾照号码、电子邮件地址。

防范数据泄漏

服务方

依据闪捷信息安全与战略研究中心的数据,每一个数据泄漏事件背后,都是有实际操作人员的。统计发现,内部人员导致的数据泄漏事件占比接近 60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中,内部人员受利益驱动泄漏数据,或者被外部人员欺骗泄漏,或者对企业有不满情绪而泄漏。失误造成的泄密类型中,由于安全意识或者流程的问题,造成安全策略配置错误,例如访问权限控制缺失、安全管控粒度粗放、账号凭据丟失等。
而外部人员造成的数据泄漏接近 40%,外部人员除黑客外,还包括组织机构的合作方员工。黑客通常采用钓鱼、SQL注入、恶意代码、社会工程等方式窃取数据。

对于互联网大厂,肯定有自己的防护措施。

作为一个网站的站长应当做到保护网站用户的信息安全:

  1. 定期检测服务器是否存在后门、木马;
  2. 关注最新的系统漏洞提醒;
  3. 尽可能少的开启网络端口;
  4. 守住底线,不要让自己的网站成为灰色地带。

用户方

  1. 在不知名网站注册时,尽量不要填写真实个人信息;
  2. 公共场合无密码的WIFI不要连接;
  3. 多个账号尽量不要使用同一密码,避免撞库攻击;
  4. 社交软件上避免透露自己的个人信息;
  5. 不使用来历不明的软件;
  6. 谨慎填写网络上的问卷调查,涉及个人信息的不要填;
  7. 妥善处理快递信息单;