一、5亿用户隐私数据泄漏

大东：小白，玩社交软件吗？

小白：玩呀～

大东：啥时候开始玩的？

小白：这怕是要追溯到高中时期...

大东：打住打住，咱今天不讨论这个，我是来提醒你使用社交软件要注意隐私安全的。

小白：嗯？啥情况？难道又发生了什么？

大东：就在前几日，3月19日，某社交网站用户称：“很多人的手机号码泄露了，根据该社交网站账号就能查到手机号……已经有人通过泄露的手机号码，来加微信了。”

小白：真的假的！

大东：在这条状态下，有不少网友留言表示自己也疑似遭遇了数据泄露。涉及到的账号信息包括用户ID、账号发布的文章数、粉丝数、关注数、性别、地理位置等。

小白：天惹噜～快给我讲讲！

二、大话始末

小白：这件事情到底啥情况呀？

大东：有分析人员根据相关线索进行了尝试，证明确实可以通过灰产买到该社交网络的用户信息。

小白：又是灰产！这又是怎么操作的？

大东：研究人员在小道消息的引导下，找到了购买隐私数据其中一个根据地——电报（Telegram）。这个系统是“积分机制”，你可以通过数字货币为该灰产充值，在电报账号的账户转换成积分，使用积分可以找机器人换取各种服务。

小白：这积分贵么？

大东：经分析人员测试，换算成人民币约等于10元查询一次。

小白：那...还真实不贵...怎么查的呀？

大东：如果你选择批量查询，那么机器人将会返回出名单，每次100个左右。内容包括：账号、邮箱、密码等信息。如果你选择根据社交网络账号查询，需要向给机器人输入其主页的ID，机器人返回的结果包括：绑定QQ、绑定手机、微博主页地址。

小白：这么详细！那岂不是只要有人看见我的社交平台，就能查到我的电话QQ号、电话号码了！

大东：是的，除了这两种查询方式，还能根据真实姓名查身份证，通过身份证查真实姓名等操作。

小白：真可怕啊...

三、原理分析

小白：这是什么原理？该社交网络系统被入侵了？

大东：对这件事情，该社交网络平台方面回应，微博一直提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。微博安全总监称：“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的。”可以从官方的回应看出，是有恶意用户抓住了微博查找好友功能的漏洞，收集了大量用户个人信息和微博信息间的对应关系，通过灰产谋取不义之财。

小白：啥意思？大东东我没听懂。

大东：行，那我给你详细讲讲。小白，你还记得你第一个微博好友是谁么？

小白：我记得！就是我的高中同桌小黑呀～

大东：比课本知识点记得清楚多了呢。那你记得你是怎么找到他的么？

小白：嗯...好像是我用手机号注册了之后，开了手机通讯录权限，然后app就自动向我推荐的～

大东：嗯，你想到什么问题了么？

小白：诶～那如果微博用户的手机通讯录里有我的手机号，那岂不是也能找到我的微博账号了！

大东：因此可以推断出这个灰产是如何诞生的——手机号的源头是有黑客找到一大堆手机号，然后利用微博上传通讯录功能，匹配出来微博ID，对互相一一对应关系进行整理，然后就可以以此牟利了。

小白：太狡猾了！我以后还怎么在微博上分享生活啊！

大东：你的担忧是对的，人们在微博上分享生活，于是每个微博的账号是有人设的，通过手机号找到微博，也就是能通过手机号将人物刻画出来了。

小白：呜呜呜，我再也不用微博了！

大东：不仅仅是微博，其他的app也有类似问题的。只要有你朋友上传了通信录，都存在这个安全隐患。

小白：我的朋友可不能坑我呀。

大东：app的社交属性引发了这个问题，每个app现在要求实名，只能希望用户都有一定的安全意识。

微博隐私灰产原理

四、如何预防

小白：大东东～就没人管管咱小用户么！就这么任人欺负么！

大东：微博表示，此次非法调用微博接口匹配出的信息为微博账号昵称，不涉及身份证、密码，对微博服务没有影响，“发现异常后，及时加强了安全策略，今后还将不断强化。”

小白：好吧，希望以后不会从系统上找到这个漏洞了。

大东：其实，目前曝光内容已删除，也是出于对其他用户效仿的担心。

小白：那咱普通用户，有啥办法可以自我拯救的么？

大东：当然，普通用户最重要的就是提高网络安全意识，注意互联网上的隐私保护。

小白：具体如何防护呢？

大东：首先是要搞清楚隐私泄漏的几种主要方式：一是使用泄漏，如操作失误、打印、外发文件、拍摄屏幕等方式泄漏数据。二是存储泄漏，包括数据中心、服务器和数据库的数据被入侵造成泄漏，移动终端被盗、丢失或维修造成数据泄漏。三是传输泄漏，通过网络监听、拦截等方式对传输数据进行篡改、伪造和窃取。

小白：那咱有啥对应的措施么？

大东：当然了，小白你记好了，可以通过以下方法进行自我安全防护。

1. 谨慎允许App拥有系统权限，一些App总是会申请拥有过多和应用提供的服务不相关的权限，除了通讯录权限外，还有摄像头权限和GPS权限。

2. 检查登录的网站是否安全，看网页是否拥有https或关闭锁定。

3. 在浏览时，不要轻易将身份证号码、个人喜好、所处位置等敏感信息泄露。

4. 不同平台的密码尽量不同，防止撞库带来的信息泄露，密码设置可以通过组合字母，数字和符号来创建安全性较高的密码。

5. 谨慎点击电子邮件中的链接，很多垃圾广告的发件人ID会模仿官方账号，点击链接前务必要确定发件人是否是官方。

小白：懂了！一定注意！

隐私安全（图片来自网络）