想调查一个人费用(怎么找到小三老公的联系方式)新京报记者发现包括微博在内,不少App都会要求用户开启通讯录权限。对此,贝松涛表示,开启通信录权限只是获取用户的联系人信息,和账号与手机号对应本身没有必然关系。但是通过获取联系人信息,得到了手机号和姓名的对应,黑客再根据姓名-账号库就可以把这些信息关联起来。“所以获取通讯录权限可能会助涨这样的泄露事件发生。”
有安全人士称,此次微博数据泄露事件与用户通讯录权限的关系不大,用户手机号与用户真实身份的联系并非从微博泄露,而是来源于已有的“社工库”,真正需要微博负责的可能就是其对接口的安全保护策略。
在被工信部约谈后,微博表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
贝松涛表示,账号和手机号的对应关系,可以由任何一次信息泄露事件引发,例如过去发生过的华住泄露事件。而一个人通常都是用同样的账号和手机号来注册多个信息系统。
源头“社工库”?
100元买4G邮箱数据,70亿条数据叫价2万
那么,包括微博在内的各个平台,其泄露的数据是如何与用户真实身份联系起来的呢?
3月20日至3月27日,新京报记者在多个黑灰产平台调查发现,提供姓名查询身份证,或提供App账号查询对应手机号码的业务已经形成了产业链,而根据平台、卖家的不同,这类“人肉搜索”的价格也不尽相同。
如有黑灰产卖家提供“全自动”的人肉搜索服务,买家只要支付320元成为VIP就可以享受该人肉搜索服务,服务内容包括查询微博、QQ、贴吧、LOL游戏账号的对应手机号等信息。
3月20日,新京报记者为调查向黑产人士购买了价值约12元人民币的积分,获得了201条微博用户信息,其中不少信息包括用户身份证号、手机号、密码、生日等私密信息。对于其提供的微博定向查询手机号服务,记者测试查询了3个已绑定手机的微博账号,结果有2个微博账号显示为正确的关联手机号码,其中1个还给出了微博绑定的QQ等更详细的信息,另一个微博账号的查询结果显示“无信息”。
李环告诉记者,能够查询到的信息均来自于该群组的“社工库”,而无法查询到的信息即该“社工库”尚未收集到的信息。令人惊讶的是,该社工库数据量极其庞大,记者随机查询了10条身份信息,均指向了正确的结果。
“黑灰产人士在这方面‘深耕’越久,数据量就越大,若有足够耐心的黑灰产人士将历史上各个时期泄露的数据都予以收集,其‘社工库’的数据量会达到惊人的地步。‘社工库’的拥有者往往是人肉搜索产业链的上游,不少数据掮客、私家侦探等查用户账号密码或查开房记录时,其实都是从这些‘社工库’中购买信息,再加价对客户进行‘二倒手’售卖。”李环表示。