作者:万佳
来源:
区块链前哨
这次数据泄露或是由于微博在2019年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。
近日,有用户发现5.38亿条微博用户信息在暗网出售,其中1.72亿有账号基本信息。全部数据售价0.177比特币,折合成人民币约为7350元。据悉,涉及到的账号信息包括用户ID、微博数、粉丝数、关注数、性别、地理位置等。
3月19日,微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号......已经有人通过微博泄露查到我的手机号码,来加我微信了。”
交易员预计:7月份联邦基金终端利率预期从此前的5.38%左右升至5.4%左右:金色财经报道,掉期交易员继续定价美联储可能在未来三次会议上将政策利率上调25个基点的预期。交易员预计,7月份联邦基金终端利率预期从早些时候的5.38%左右升至5.4%左右。[2023/2/24 12:27:45]
在其微博留言中,多名微博网友确认手机号泄露。有一名网友留言,“刚刚查了下我的,确实泄露了,电话号码、身份证、物理地址都正确。”
除了网友手机号,“包括明星、企业家、公务员等人在内”的手机号都被泄露。
据悉,“安全_云舒”微博的个人主页显示,他是默安科技创始人兼CTO,原阿里集团安全研究实验室总监。根据36氪的求证,这名网友为默安科技CTO魏兴国。
截至笔者撰文时,“安全_云舒”发布的2条相关微博已经删除。
合规稳定币HUSD流通量创9亿美金新高,在Heco流通量破5.3亿:据最新链上数据,合规稳定币HUSD流通量创下9亿美金新高,累计发行量超72亿美金。此外,由Heco支持的HRC20 HUSD代币(Heco-Peg HUSD Token)流通量迅速超过5.3亿,已成为Heco链上最活跃、挖矿用途最多的资产之一。
由于Heco的持续火热,HUSD广泛应用于流动性挖矿、交易、借贷、机池、衍生品、合成资产抵押等多重DeFi场景。在Heco链上,HUSD目前已获得MDEX、CoinWind、LendHub、FilDA、Channels、BXH、Booster、Pilot、Depth等热门Heco项目支持。此外,以太坊链上的Curve、Uniswap、Harvest、CREAM等平台也均支持了HUSD。
HUSD是由Stable Universal 发行的合规稳定币,与美元1:1锚定。HUSD已经在数字资产交易、支付、DeFi等应用中落地。[2021/4/26 21:00:43]
1微博回应
针对本次数据泄露事件,微博认证“微博安全总监”的网友罗诗尧在微博中回复称:多谢关心,每隔段时间就有人在网上卖,每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。
Facebook发言人:5.33亿Facebook用户数据被泄露为2年前的旧消息:据外媒《The Record》报道,5.33亿Facebook用户的个人数据在一个黑客论坛上被泄露,包括用户的个人信息,如Facebook ID、全名、地点、出生日期、电子邮件地址以及用户可能在个人资料中输入的其他任何内容。此外,数据库还包含所有用户的电话号码,一些没在网站上公开电话号码的用户也没能幸免。目前,数据以106个单独下载包的形式提供,并且按国家/地区划分数据。虽然可以公开访问论坛,并且任何人都可以注册个人资料,但是这些软件包的下载链接仅对购买了论坛积分的用户可用。
对此消息,Facebook发言人在一封电子邮件声明中写道:“这是之前在2019年报道的旧数据。我们在2019年8月发现并修复了此问题。”(雷锋网)[2021/4/4 19:44:50]
至于本次数据泄露的原因,安全_云舒称,这次数据泄露或是由于微博在2019年被人通过接口“薅走了一些数据”,而不是所谓的“数据拖库”。
而罗诗尧回应,“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”
ZEC突破65美元关口 日内涨幅为5.36%:火币全球站数据显示,ZEC短线上涨,突破65美元关口,现报65.01美元,日内涨幅达到5.36%,行情波动较大,请做好风险控制。[2020/10/6]
他还表示,“19年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”
微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务,但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。2018年底,有用户利用微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响。“发现异常后,我们及时加强了安全策略,今后还将不断强化。”
对于本次数据泄露事件,一名业内安全专家向笔者表示,“对于微博的数据泄露,第一不能轻视,第二也不用太夸大,因为这是我们每年许多数据泄露事件中的一起。现在,随着所有互联网公司都在做数字化转型,其实每一个企业都掌握了大量客户信息。这些信息如果保护不到位的话,都会出现数据泄露。”
行情 | BTC24小时成交额达85.34亿美元:据CoinMarketCap数据显示,加密货币市场24小时总交易额为276.71亿美元。前五成交额排行如下: 第一是BTC,其24小时成交额为85.34亿美元,占比为30.84%;第二是USDT,其24小时成交额为75.71亿美元,占比为27.36%; 第三是ETH,其24小时成交额为42.97亿美元,占比为15.53%; 第四是EOS,其24小时成交额为14.11亿美元,占比为5.10%; 第五是LTC,其24小时成交额为12.41亿美元,占比为4.48%。[2019/2/24]
“无论是物理世界,还是数字世界,它都不是100%的安全,一定会有各种各样的风险。数据泄露,其实是数字化世界中非常普遍、需要重视的安全风险之一。”
2原因分析
在今天的互联网上,数据泄露层出不穷。在《2019年数据泄露全年盘点》中,笔者从公开渠道统计出数据泄露事件一共有43件,涉及各行各业。
左耳朵耗子在极客时间的《从Equifax信息泄露看数据安全》中指出了数据泄露发生的原因:
利用程序框架或库的已知漏洞。比如,美国征信机构Equifax发生的1.45亿用户数据泄露,就是利用ApacheStruts的已知漏洞;
暴力破解密码。攻击者利用密码字典库或是已经泄露的密码来“撞库”;
代码注入。通过程序员代码的安全性问题,如SQL注入、XSS攻击、CSRF攻击等取得用户的权限;
利用程序日志不小心泄露的信息;
社会工程学
此外,他还阐述了因数据管理问题而发生的数据泄露,比如只有一层安全、弱密码、向公网暴露了内部系统、安全日志被暴露、保存了不必要保存的数据和密码没有被合理地散列等。
具体到本次微博的数据泄露,这名资深安全人士指出,根据目前披露的一些信息,在很多社交平台,它都有根据用户通讯录去查找好友的功能。以微博为例,用户注册登录后,它会询问你是否要匹配通讯录中的好友。“除了微博,拼多多、京东、抖音都有类似的功能”。
这名资深安全人士说,“微博的数据泄露,很大概率可能是黑灰产的攻击者利用接口的业务功能考虑不周全或有缺陷的情况,在本地通过脚本或自动化工具去大量生成。”
黑产或灰产会利用手中工具在本地生成大量连续的手机号,利用微博的接口,去匹配微博上面的账号。通过这种方式,它可以生成你的微博和手机信息的绑定,利用这种绑定去准确定位你的微博。“有了手机号后,可以去匹配一些其他的信息,找到你的QQ号、身份证号码等。匹配到一些信息后,它还可能拿到你的账户密码,然后撞库找到其他信息。”他说。
简言之,利用微博,定位到个人、手机号、微博ID和QQ号。拿到手机号和QQ后,再去获取身份证信息、密码信息等。
32个小建议,让你的数据更安全
对网友而言,我们虽然是个人信息数据的拥有者,但不是数据的控制者。“当我们把信息委托给某一个平台,那我们其实将主动权交给了对方。”
作为一个普通人,我们可以采取一些举措去有效地保护个人数据:
在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦点,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;
重要信息分类使用。当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。
4专家支3招,企业防泄露
无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。
对企业或组织机构而言,它们对数据泄露应采取积极主动的态度,避免数据泄露事件发生。
有安全专家给出了3条建议:
1、完善数据安全防护手段
当前,企业对数据安全主要采取防范计算机病、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。
敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
2、建立可落地的行业性数据安全规范和企业数据安全管理制度
最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。
虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。
这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”
3、提高安全意识,增加对内部数据泄露风险的防护
目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。
调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。
因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。
作者丨明曦?秦鑫编辑丨胖迪克格莫出品丨奔跑财经2020年3月12日,加密货币市场一泻千里、哀鸿一片,仿佛坠入了黑洞.
1900/1/1 0:00:00作者|MuneebAli译者|天道酬勤出品|区块链大本营不可否认,比特币仍然是区块链无可争议的“区块链之王”。自2017年的试验期以来,比特币的主导地位显着提高.
1900/1/1 0:00:00本文来源:Cointelegraph中文,原题《加密货币投资者应留意美国国税局推迟纳税截止期的政策》作者:ANDREYSHEVCHENKO美国国税局将允许延迟支付4月15日至7月15日期间100.
1900/1/1 0:00:00一场全球疫情加上其它风险因素引发的一连串后果,全球经济受到了巨大的压力,到处弥漫着经济危机的气息。全球资产包括加密货币这种风险较高,许多人认为的“另类”资产也遭到了血洗.
1900/1/1 0:00:00文:肖磊比特币价格从去年12月中旬开始上涨,至今年的2月中旬,累积上涨了超过60%。在此期间经历了中国市场疫情的加剧,也经历了全球股市的新一轮调整,很多投资者开始认为比特币面对资本市场的不确定性.
1900/1/1 0:00:003月30日,MOV正式上线。MOV是下一代去中心跨链Layer2价值交换协议,由价值交换引擎磁力合约(Magnet)、去中心跨链网关(OFMF)和Layer2高速侧链(Vapor)三大核心模块构.
1900/1/1 0:00:00