「新京报经济新闻」App用户数据泄露背后：250元可查到户口，70亿条数据叫价2万

本文插图
近期，微博发生用户数据泄露事件，引发监管层问询约谈。 ***采访人员调查发现，实际上，被泄露的不止微博用户数据，在黑灰产交易平台上还可以查询到QQ、贴吧甚至LOL游戏账号的用户数据信息。 “人肉搜索”已经成为了一门灰色生意，花250元甚至可以根据名字查到你的户口簿信息。
***采访人员发现，根据平台、卖家不同， “人肉搜索”的种类、价格也从数百元到数千元不等，而这些信息均来自于黑灰产人士用于储备个人信息的“社工库” 。
“社工库是长期存在于黑市里的数据，来源很广泛，有各种信息泄露事件中积累的个人信息，也有从爬虫网络上找得到的一些其他信息。社工库及人肉搜索行为触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。但对其的打击难点在于，这些库很多都是历史信息，已经流转多次，很难追寻源头并封堵。 ”3月27日，梆梆安全高级咨询专家贝松涛对***采访人员表示。
数据从何处泄露？
微博：手机号码不来源于微博专家：泄露来自社工库
3月19日，微博被曝发生数据泄露。默安科技CTO魏兴国发布一条微博（目前已删除）称，通过技术查询发现不少人手机号已经泄露。 3月20日， ***采访人员调查发现，在多个网络平台上确实出现了相关的数据买卖，只要缴费即可通过微博账号查询到用户的手机号码及其他更详细个人私密信息。
对于这次用户数据泄露，微博方面对***采访人员表示，外部流传的“微博用户资料库”中的手机号码并不来源于微博，而是黑客从其他渠道非法获取，再通过微博相关接口批量上传手机通讯录匹配账号昵称。黑客同时利用非法获取的手机号在其他渠道获取信息，组成所谓的“微博用户资料库”对外出售。
3月24日，工信部在官网发布消息称，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈，要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》，进一步采取有效措施，消除数据安全隐患。并要求微博尽快完善隐私政策，规范用户个人信息收集使用行为，强化用户查询接口风险控制等安全保护策略等。
***采访人员注意到，工信部与微博都提到了“接口” 。那么，什么是“接口”？其在此次信息泄露中起到了什么作用呢？
贝松涛表示， App的用户查询接口指的是一个应用系统可能开放了某个API（应用程序接口），来做个人信息的查询，这种API很关键，需要加强安全保护。对发起的请求方做身份验证， IP地址鉴别、证书校验都是可选的安全方式。
熟悉黑产运作方式的人士李环（化名）告诉采访人员，使用App账号反查用户身份的一个关键环节是，取得账号与注册手机号的对应关系，此后再通过手机号与身份证的对应关系确定用户身份，其中，手机号与身份的对应关系并非App泄露，但账号与手机号的对应关系极有可能是通过App开放的接口获得。
李环举例称，此前微博与脉脉就曾因接口问题“闹崩”：脉脉在和微博合作期间，脉脉用户可以在该App的“一度人脉”功能中直接看到非脉脉用户的微博头像和名称，这正是微博向脉脉开放了其API接口。后来微博提起诉讼，认为脉脉存在非法抓取、使用微博用户信息，非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系等行为，双方对簿公堂，最终微博方面胜诉。
此外， ***采访人员发现包括微博在内，不少App都会要求用户开启通讯录权限。对此，贝松涛表示，开启通信录权限只是获取用户的联系人信息，和账号与手机号对应本身没有必然关系。但是通过获取联系人信息，得到了手机号和姓名的对应，黑客再根据姓名-账号库就可以把这些信息关联起来。 “所以获取通讯录权限可能会助涨这样的泄露事件发生。 ”