ZDNet看到的广告以及来自中国媒体的报道证实,目前有超过5.38亿中国社交网络微博用户的个人详细信息可在线出售。
在黑网上和其他地方发布的广告中,一名黑客声称在2019年中违反了微博并获得了该公司用户数据库的转储。
据称该数据库包含5.38亿微博用户的详细信息。个人详细信息包括真实姓名,网站用户名,性别,位置等信息(对于1.72亿用户而言)是电话号码。
不包括密码,这解释了为什么黑客只以1,799日元(250美元)的价格出售微博数据。
图片:ZDNet
在这篇文章发表之前,微博发言人没有回复ZDNet的置评请求,但该公司向中国媒体提供了有关此事的声明。
但是,微博的反应令人困惑。
在发给中国网站36kr等的声明中,该公司声称电话号码是在2018年底获得的,当时其工程师观察到一系列用户帐户上载了大量联系人,试图将帐户与各自的电话号码进行匹配。在其自己的微博个人资料上发布的另一份声明中,该公司表示,它不会以明文形式存储密码,用户不必担心。
但是,几名中国安全专家很快指出了该公司的回应中存在技术违规行为。首先,黑客的广告包含指示符,该指示符表明数据来自SQL数据库转储,这与公司的解释不符,即该数据是通过将联系人与其API匹配来获得的。
其次,该公司的声明也没有说明黑客如何获取其他详细信息,例如性别和位置,不公开的信息,或者在匹配联系人时由API返回。
在中国社交媒体上,关于数据的起源以及攻击者如何获得数据的猜测一直猖ramp。当安全研究人员意识到攻击者没有在出售密码时,密码喷雾或凭据填充攻击的理论很快就被驳回。
在某些广告中以“ @weibo”命名的黑客还提供了数据样本,微博用户证实这些数据是准确的。
微博表示,已就此事件通知当局,警方正在调查。
由于其对互联网的近乎极权主义控制,中国警察已经能够相对轻松地跟踪大多数本地黑客。在2018年夏季,另一位黑客出售了华住酒店集团旗下数百万住宿过酒店的客人的详细信息。尽管数据在黑暗的网络上出售,但中国警方在三周后逮捕了该黑客。
