「汕头政法」新浪微博还能走多远？，如此漠视用户隐私安全微博最近又火了

微博最近又火了，还是互联网最严重的的安全事件——数据泄露。

文章图片
3月19日，微博认证为“默安科技创始人，原阿里集团安全研究实验室总监”的网友@安全_云舒转发了一条微博并称：“很多人的手机号码泄露了，根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码，来加我微信了。 ”
随后，在微博下的留言中进一步表示，他通过技术查询，发现不少人的手机号已被泄露，当中涉及不少微博认证的明星、官员、企业家。 “来总的手机号也被泄露了，我昨晚查过。 ”（“来总”指微博CEO）

文章图片
在其微博下，不少人留言表示自己也疑似遭遇了数据泄露，更有网友表示，发现5.38亿条微博用户信息在暗网出售，其中， 1.72亿条有账户基本信息。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
有人发现在名为社工库机器人的黑产平台，可以通过微博ID可以查到很多人的名字、手机号和身份证号等更多个人信息！而且价格门槛特别低，只需要0.0138ETH ，大约十块钱一次！
据***Phala可信网络汇总，黑产平台有以下几种查询方式：
1、选择批量查询→机器人批量输出名单（每次100个左右）。包括：微博账号、邮箱、密码等信息。
2、选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括：绑定QQ、绑定手机、微博主页地址。
3、输入绑定QQ ，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、QQ关联账号、QQ密码。
4、输入绑定手机，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、微博账号、微博绑定手机。
5、直接查询真实姓名：机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址。
6、直接查询身份证号：机器人输出身份证号和真实姓名。
很不幸，倪叔也中招了。

文章图片
随后微博官方回复36氪称：
1、微博一直提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有“根据用户昵称查手机号”的服务。
2、2018年底，有用户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称，不涉及身份证、密码，对微博服务没有影响。
3、发现异常后，我们及时加强了安全策略，今后还将不断强化。
微博的回应概括一下就是，手机号早就泄露了，其余信息是通过其他渠道获取的，跟微博没有关系，不影响微博使用。
微博这种态度，多少让人有点火大。不重要信息泄露，就不算泄露，不影响微博服务，影不影响用户？
不论是泄露的数据究竟是什么，微博作为一家用户几亿的国内信息社交平台，手中掌握了大量的用户数据，就应当为这些数据的安全保驾护航。
而且既然已经发生了类似的数据泄露事件，微博也并没有警示用户个人隐私泄露的风险，提醒用户采取相应行动避免损失，而是告诉用户：尽管数据泄露了，但情况不严重，大家可以放心。
根据《信息安全技术个人信息安全规范》规定，个人敏感信息如果泄露，应及时实施安全事件的告知，将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息；告知内容应包括但不限于：