暗网里交易的5亿用户隐私丨专栏

一、5亿用户隐私数据泄漏，大东：小白，玩社交软件吗？小白：玩呀～大东：啥时候开始玩的？小白：这怕是要追溯到高中...

一、5亿用户隐私数据泄漏

大东：小白，玩社交软件吗？

小白：玩呀～

大东：啥时候开始玩的？

小白：这怕是要追溯到高中时期...

大东：打住打住，咱今天不讨论这个，我是来提醒你使用社交软件要，注意隐私安全的。

小白：嗯？啥情况？难道又发生了什么？

大东：就在前几日，3月19日，某社交网站用户称：“很多人的手机号码泄露了，根据该社交网站账号就能，查到手机号……已经有人通过泄露，的手机号码，来加我微信了。”

小白：真的假的！

大东：在这条状态下，有不少网友留言表示自己也疑似，遭遇了数据泄露。涉及到的账号，信息包括用户id、账号发布的文章数、粉丝数、关注数、性别、地理位置等。

小白：天惹噜～快给我讲讲！

二、大话始末

小白：这件事情到底啥情况呀？

大东：有分析人员根据相关，线索进行了尝试，证明确实可以通过灰产买到该社交，网络的用户信息。

小白：又是灰产！这又是怎么操作的？

大东：研究人员在小道消息的，引导下，找到了购买隐私数据其中，一个根据地——电报（Telegram）。这个系统是“积分机制”，你可以通过数字货币，为该灰产充值，在电报账号的，账户转换成积分，使用积分可以找机器人换取，各种服务。

小白：这积分贵么？

大东：经分析人员测试，换算成人民币约等于10元，查询一次。

小白：那...还真实不贵...怎么查的呀？

大东：如果你选择批量查询，那么机器人将会，返回出名单，每次100个左右。内容包括：账号、邮箱、密码等信息。如果你选择根据社交网络，账号查询，需要向给机器人输入，其主页的id，机器人返回的结果包括：绑定QQ、绑定手机、微博主页地址。

小白：这么详细！那岂不是只要有人，看见我的社交平台，就能查到我的电话QQ号、电话号码了！

大东：是的，除了这两种查询方式，还能根据真实，姓名查身份证，通过身份证查真实，姓名等操作。

小白：真可怕啊...

三、原理分析

小白：这是什么原理？该社交网络系统被入侵了？

大东：对这件事情，该社交网络平台方面回应，微博一直提供根据通讯录手机号查询微博，好友昵称的服务，用户授权后可以，使用该服务。微博安全总监称：“泄漏的手机号是19年通过通讯录上传接口，被暴力匹配的，其余公开信息都是，网上抓来的。”可以从官方的回应看出，是有恶意用户抓住了微博查找，好友功能的漏洞，收集了大量用户个人信息，和微博信息间的对应关系，通过灰产谋取不义之财。

小白：啥意思？大东东我没听懂。

大东：行，那我给你详细讲讲。小白，你还记得你第一个微博好友，是谁么？

小白：我记得！就是我的高中同桌小黑呀～

大东：比课本知识点记得，清楚多了呢。那你记得你是怎么找到，他的么？

小白：嗯...好像是我用，手机号注册了之后，开了手机通讯录权限，然后app就自动向我推荐的～

大东：嗯，你想到什么问题了么？

小白：诶~那如果微博用户的手机通讯录里，有我的手机号，那岂不是也能找到我的，微博账号了！

大东：因此可以推断出这个，灰产是如何诞生的——手机号的源头是有，黑客找到一大堆手机号，然后利用微博，上传通讯录功能，匹配出来微博ID，对互相一一对应关系，进行整理，然后就可以以此牟利了。

小白：太狡猾了！我以后还怎么在，微博上分享生活啊！

大东：你的担忧是对的，人们在微博上分享生活，于是每个微博的账号，是有人设的，通过手机号找到微博，也就是能通过手机号将人物，刻画出来了。

小白：呜呜呜，我再也不用微博了！

大东：不仅仅是微博，其他的app也有，类似问题的。只要有你朋友，上传了通信录，都存在这个安全隐患。

小白：我的朋友可不能坑我呀。

大东：app的社交属性引发了，这个问题，每个app现在要求实名，只能希望用户都有，一定的安全意识。

四、如何预防

小白：大东东~就没人，管管咱小用户么！就这么任人欺负么！

大东：微博表示，此次非法调用微博接口匹配出的信息，为微博账号昵称，不涉及身份证、密码，对微博服务没有影响，“发现异常后，及时加强了安全策略，今后还将不断强化。”

小白：好吧，希望以后不会从系统，上找到这个漏洞了。

大东：其实，目前曝光内容已删除，也是出于对其他，用户效仿的担心。

小白：那咱普通用户，有啥办法可以自我拯救，的么？

大东：当然，普通用户最重要的就是提高，网络安全意识，注意互联网上的隐私保护。

小白：具体如何防护呢？

大东：首先是要搞清楚隐私泄漏的，几种主要方式：一是使用泄漏，如操作失误、打印、外发文件、拍摄屏幕等方式泄漏数据。二是存储泄漏，包括数据中心、服务器和数据库的数据被，入侵造成泄漏，移动终端被盗、丢失或维修造成数据泄漏。三是传输泄漏，通过网络监听、拦截等方式对传输数据，进行篡改、伪造和窃取。

小白：那咱有啥对应的措施么？

大东：当然了，小白你记好了，可以通过以下方法进行自我，安全防护。

1. 谨慎允许app，拥有系统权限，一些app总是会申请拥有过多，和应用提供的服务不相关的权限，除了通讯录权限外，还有摄像头权限和，gps权限。

2. 检查登录的网站是否安全，看网页是否拥有，https或关闭锁定。

3. 在浏览时，不要轻易将身份证号码、个人喜好、所处位置等敏感信息泄露。

4. 不同平台的密码尽量不同，防止撞库带来的信息泄露，密码设置可以，通过组合字母，数字和符号来创建，安全性较高的密码。

5. 谨慎点击电子邮件中的，链接，很多垃圾广告的发件人id会，模仿官方账号，点击链接前务必要确定发件人，是否是官方。

小白：懂了！一定注意！

来源：中国科学院计算技术研究所

温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片，的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

    关注 中科院之声