據(jù)工信部官網(wǎng)3月24日消息,3月21日,針對媒體報道的新浪微博因用戶查詢接口被惡意調(diào)用導致App數(shù)據(jù)泄露問題,工業(yè)和信息化部網(wǎng)絡安全管理局對新浪微博相關負責人進行了問詢約談。
據(jù)悉,工信部要求新浪微博按照《網(wǎng)絡安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求,對照工信部等四部門制定的《App違法違規(guī)收集使用個人信息行為認定方法》,進一步采取有效措施,消除數(shù)據(jù)安全隱患。具體要求有:
一是要盡快完善隱私政策,規(guī)范用戶個人信息收集使用行為;
二是要加強用戶信息分類分級保護,強化用戶查詢接口風險控制等安全保護策略;
三是要加強企業(yè)內(nèi)部數(shù)據(jù)安全管理,定期及新業(yè)務上線前要開展數(shù)據(jù)安全合規(guī)性自評估,及時防范數(shù)據(jù)安全風險;
四是要在發(fā)生重大數(shù)據(jù)安全事件時,及時告知用戶并向主管部門報告。
對此,新浪微博回應稱,公司高度重視數(shù)據(jù)安全和個人信息保護,針對此次事件已采取了升級接口安全策略等措施,后續(xù)將按照工信部要求,落實企業(yè)數(shù)據(jù)安全主體責任,切實做好用戶個人信息保護工作。
事件回顧
3月4日,有暗網(wǎng)用戶發(fā)布了一則名為“5.38億微博用戶綁定手機號數(shù)據(jù),其中1.72億有賬號基本信息”的交易信息,售價1388美元。其中綁定手機數(shù)據(jù)包括用戶ID和手機號,賬號基本信息包括昵稱、頭像、粉絲數(shù)、所在地等。
經(jīng)安全圈人士驗證,部分測試數(shù)據(jù)屬實。
18日晚,默安科技創(chuàng)始人兼CTO云舒發(fā)博提及此事。很快,微博CEO王高飛(@來去之間)回復稱“是2014年以前網(wǎng)易那次撞庫的”。
隨后,微博安全總監(jiān)羅詩堯則解釋稱,此次泄露的手機號是“2019年通過通訊錄上傳接口被暴力匹配的,其余公開信息都是網(wǎng)上抓來的”,并表示微博內(nèi)部發(fā)現(xiàn)異常后“馬上堵住了口子”,第一時間報了警(相關微博已被刪除)。
此后,微博對《AI財經(jīng)社》表示,此次數(shù)據(jù)泄露應該追溯到2018年底。當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號昵稱,再加上通過其他渠道獲取的信息一起對外出售。
微博還強調(diào),微博一直有提供根據(jù)通訊錄手機號查詢微博好友昵稱的服務,但不提供用戶性別和身份證號等信息,也沒有“根據(jù)用戶昵稱查手機號”的服務。因此這起數(shù)據(jù)泄露不涉及身份證、密碼,對微博服務沒有影響。未來微博將不斷強化安全保護策略。
然而,有安全圈人士發(fā)文稱,在Telegram找到了售賣微博數(shù)據(jù)的一個自動交易機器人,并成功買到了同事的姓名、手機號、QQ號、微博賬號密碼、郵箱等,再利用平臺提供的其他服務,位置信息、戶籍、地址、身份證號也都可查。