大家好,我是柴妹。
昨天在很多人都不知道的情况下,一场事关5亿人信息安全的大事就在三言两语间,如同昙花一现,悄然过去。
包括柴妹,也是事后才知道,居然发生了这样的事。但过后回想起来,却恍然发觉,有些事根本禁不起细细琢磨。
事情是这样的,19日上午,一个微博大V突然发了一条微博。
称“很多人的手机号码被泄露了,通过微博账号就能查到手机号,已经有人通过微博泄露查到我的手机号码,来加我微信了。”(这条微博现在已经被删除)
但随后这个ID为“安全-云舒”的人转发了自己的微博,宣称“来总的手机号也泄露了,我昨晚查过。”
这个微博大V的认证信息是默安科技创始人兼CTO和原阿里集团安全研究实验室总监,说出这番言论后,立刻有人向默安科技求证,知道了此人名为魏兴国,“云舒”二字是他在阿里巴巴任职期间的花名。
他所说的“来总”,就是微博的CEO王高飞,因微博ID为“来去之间”,一直被人戏称为“来总”。
在“微博信息泄露”一事逐渐发酵后,越来越多的网友站出来表示自己疑似遭遇了信息泄露。
还有人晒出了一张截图,疑似是微博个人数据的打包售卖图,售价为1799元,不知是人民币还是比特币。
这可不就巧了,前几日柴妹在网上冲浪时,看见有人报道,多个安全监测平台曾监控到暗网用户于3月4日发布的一则信息。
名为“5亿微博用户绑定手机号数据,其中1.72亿有账户基本信息”,售价1388美元。
这些数据除了用户的手机号码和微博账户及密码之外,还有昵称、头像、粉丝数、所在地、最后发布微博的日期等信息。
可以说,这份被公开在暗网售卖的资料,或许比自己知道的还要更加详尽。
本来以为用户信息泄露这种波及广、隐患大的事情会随着舆论的发酵愈演愈烈,然后逼迫微博给大家一个说法。
但让柴妹没想到的是,这件事儿就如同在水面上冒了个泡儿,泡儿破了,事儿就过去了。
在发现这事儿被公开之后,微博的“三部曲”有条不紊的开始了。
第一步,限流和删除,尽量不让事件影响扩大;
第二步,相关人员出来澄清,和网友们battle;
第三步,CEO亲自甩锅。
这手段,堪称完美。
微博信息泄露这事儿,说来也不是这一天两天弄出来的,只是微博捂得很紧,很多人都不知道。
就在“安全-云舒”曝光此事的前一天,微博的安全总监罗诗尧就蹦出来和网友battle过,称“此次泄露的手机号是2019年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的”
这也是后来“安全-云舒”回应过的一条微博。
这里面有一个关键词“脱库”,什么是“脱库”?就是指黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为。
微博CEO“来去之间”则给出了另一个理由,放出了另一个背锅侠。
这里又来了一个关键词“撞库”,那什么是“撞库”?就是指黑客收集互联网已泄露的用户和密码信息,然后尝试批量登录其他网站。
因为很多人习惯在不同平台设置同一个密码(柴妹就是这样,现在柴妹得考虑把所有的密码都给换一换了...)所以黑客如果获取了用户在A平台登录的信息,就可以用这些信息尝试登录B平台,这就是所谓的“撞库”。
我们暂且不论微博信息泄露究竟是“脱库”还是“撞库”,亦或者是其他不可明说的原因。
只从此事微博的回应和这些高管言语间的“无辜”就可以发现,这事儿没有掀起舆论风波,一方面是大家对待信息泄露已经没有丝毫的危机感,另一方面则是因为这些企业对信息泄露没有任何感觉。
微博对此事的回应
信息泄露,说实话,已经是一个老生常谈的话题,很久之前柴妹就跟大家谈论过这事儿。
从互联网开始发展以来,发生过信息泄露的企业那简直不要太多。
就拿微博CEO甩锅的网易撞库事件来说,2015年10月,网易邮箱出现信息泄露事件,当时大家也是激烈讨论这究竟是“脱库”还是“撞库”。
但不论是啥,信息以及被泄露了,所关联的银行账号密码、网盘等大部分信息都已经被迫透明。
很可惜,互联网有记忆,网友们没记忆。
当事情的热度消散后,就没有人再去关注那些信息泄露最后如何了。
比如网易撞库事件,再比如华住集团信息泄露事件。
华住集团泄露事件被称为“五年内最大的信息泄露事件”,5亿条住客信息被人放在暗网上公开售卖,这其中包括1.23亿条官网注册资料、1.3亿条入住登记身份信息以及2.4亿条详细开房记录。
这份信息详细到什么程度呢?你的姓名、性别、生日、手机号码、身份证号、家庭住址、住宿信息等全部在列。
说其他的都太虚了,柴妹就浅显的只说一点,现在社会个人信息就跟银行卡里的存款挂钩,很多人对信息泄露不以为然,觉得没多大影响。
但其实很多信息泄露不止是被打骚扰电话,更多的是钱被人搞没了!
这是柴妹曾关注暗网时所看到过的一张图片,里面有很多公开售卖的个人信息。
这些信息是哪儿来的?有的是黑客入侵,但其他的呢?黑客不可能那么猖狂,那其他的信息是哪里来的?
细思极恐。
说回前面微博信息泄露事件,在这整件事情里,微博只顾着把消息隐瞒下来,生怕别人知道了这件事会对企业产生不好的影响。
但柴妹很想问一句,微博有没有遵守《中华人民共和国网络安全法》?
在发生信息泄露之后,企业和平台的第一反应不该是藏着掖着,而是应该及时向公众发布有关的警示信息。
不能因为害怕企业名誉受损就不顾用户的隐私和个人利益。
可微博这事儿到现在都不知道到底是啥时候发生的,可见微博捂得有多紧...
另一方面,柴妹找遍全网,发现企业一旦出现信息泄露的事儿,用户似乎只能吃了这个哑巴亏,除了换密码别无他法。
而企业啥事儿都没有。
在搜索这方面资料的时候,柴妹就与小柴展开了激烈的讨论。
最后小柴给了柴妹灵感,假如某家企业营造出信息泄露的表象,但其实背地里故意把信息打包进行售卖,那这个亏,岂不是用户自己忍了?
柴妹一想,还真是这么个理儿,在对待信息泄露这事儿上,最终都是用户的损失最大。
而原本应该承担保护隐私信息责任的企业,根本就没有相关法律约束。
所有相关的信息安全法律都只是约束企业不能擅动用户信息等行为,可这些信息还是总被泄露出去...
这里面原因如何,谁都不好说...柴妹也怂啊。
难道身为一个韭菜,柴妹就只能抱紧自己的银行卡瑟瑟发抖吗?
主笔 | 小陆
编辑 | 四少