作者:萬佳
來源:
區塊鏈前哨
這次數據泄露或是由于微博在2019年被人通過接口“薅走了一些數據”,而不是所謂的“數據拖庫”。
近日,有用戶發現5.38億條微博用戶信息在暗網出售,其中1.72億有賬號基本信息。全部數據售價0.177比特幣,折合成人民幣約為7350元。據悉,涉及到的賬號信息包括用戶ID、微博數、粉絲數、關注數、性別、地理位置等。
3月19日,微博名為“安全_云舒”的用戶轉發微博時稱:“很多人的手機號碼泄露了,根據微博賬號就能查到手機號......已經有人通過微博泄露查到我的手機號碼,來加我微信了。”
在其微博留言中,多名微博網友確認手機號泄露。有一名網友留言,“剛剛查了下我的,確實泄露了,電話號碼、身份證、物理地址都正確。”
基于Ordinals協議開發的比特幣.sats域名已鑄造超5.3萬枚:3月7日消息,據Dune Analytics數據顯示,基于Ordinals協議開發的比特幣.sats域名已鑄造超5.3萬枚,去重之后的獨立域名數達到4.2萬個,獨立鑄造地址接近2.4萬個,產生了1.05億枚SATS(約合2.3萬美元)的費用。Sats Names是使用序數將名稱寫入比特幣的標準,目標是為比特幣建立一個域名生態系統,首個域名“helloworld.sats”的注冊時間為2023年2月22日。[2023/3/7 12:47:13]
除了網友手機號,“包括明星、企業家、公務員等人在內”的手機號都被泄露。
據悉,“安全_云舒”微博的個人主頁顯示,他是默安科技創始人兼CTO,原阿里集團安全研究實驗室總監。根據36氪的求證,這名網友為默安科技CTO魏興國。
截至筆者撰文時,“安全_云舒”發布的2條相關微博已經刪除。
數據:已有95%的Cardano鏈上區塊來自1.35.3版本節點:金色財經報道,據Cardano區塊鏈開發團隊Input Output透露,他們已在備受期待的 Vasil 硬分叉方面取得了重大進展,截至 9 月 12 日,95%的Cardano鏈上區塊來自1.35.3版本節點。
據此前披露消息稱,Cardano 要求網絡節點升級到 1.35.3 版本需要達到 75% 的闕值。此外,截至9月12日,大多數高流動性交易平臺已經整合了Vasil,包括Binance和Coinbase等,但Zipmex、CEX.io、CoinDCX、Coinbase Pro等交易平臺尚未加入。按照Cardano披露的信息,Vasil預計在9月22日上線,為了能夠觸發Vasil升級,流動性最高的25家加密貨幣交易平臺中80%必須支持。(u.today)[2022/9/13 13:26:01]
1微博回應
針對本次數據泄露事件,微博認證“微博安全總監”的網友羅詩堯在微博中回復稱:多謝關心,每隔段時間就有人在網上賣,每次都會引起一波輿情,本不想回應,這條微博今后還會用得上。
東南亞數字支付公司Xendit完成3億美元D輪融資,融資總額達5.38億美元:金色財經報道,東南亞數字支付公司Xendit宣布已完成3億美元D輪融資,聯合領投方為加密投資機構Coatue 和 Insight Partners ,參投方包括Accel、Tiger Global、Kleiner Perkins、EV Growth、Amasia、Intudo 和Goat Capital等知名投資商和投資人。Xendit 創始人兼首席執行官Moses Lo表示,到 2025 年,東南亞數字經濟價值將超過 3600 億美元,Xendit 支付產品和服務使該地區更多的企業和個人能夠參與數字經濟。[2022/5/20 3:31:21]
至于本次數據泄露的原因,安全_云舒稱,這次數據泄露或是由于微博在2019年被人通過接口“薅走了一些數據”,而不是所謂的“數據拖庫”。
而羅詩堯回應,“泄漏的手機號是19年通過通訊錄上傳接口被暴力匹配的,其余公開信息都是網上抓來的。”
波卡生態概念板塊今日平均跌幅為5.39%:金色財經行情顯示,波卡生態概念板塊今日平均跌幅為5.39%。26個幣種中6個上漲,20個下跌,其中領漲幣種為:CHI(+20.34%)、KTON(+7.13%)、KLP(+5.18%)。領跌幣種為:XOR(-21.66%)、DOCK(-11.71%)、OM(-11.30%)。[2021/6/20 23:51:22]
他還表示,“19年被刷的部分數據,內部突發現異常后馬上堵住了口子。我們第一時間報了警,取證后把相關信息遞到了,同時一直也在追查網上售賣信息的黑灰產。用戶的隱私至關重要,尤其還是涉及到手機號。”
微博方面表示,微博一直提供根據通訊錄手機號查詢微博好友昵稱的服務,用戶授權后可以使用該服務,但微博不提供用戶性別和身份證號等信息,也沒有“根據用戶昵稱查手機號”的服務。2018年底,有用戶利用微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號昵稱,再加上通過其他渠道獲取的信息一起對外出售。此次非法調用微博接口匹配出的信息為微博賬號昵稱,不涉及身份證、密碼,對微博服務沒有影響。“發現異常后,我們及時加強了安全策略,今后還將不斷強化。”
霍比特交易所多個幣種上漲 MIS24小時漲幅35.38%:據霍比特HBTC行情頁顯示,平臺內多個幣種持續上漲。其中,MIS24小時漲幅為35.38%,現報價1.259USDT;LAMB24小時漲幅為32.69%,現報價0.2752USDT;ALGO24小時漲幅為27.78%,現報價0.6736USDT;SRM24小時漲幅為23.65%,現報價2.091USDT。
霍比特交易所是100%持幣者共享的交易平臺,推出全新的10倍PE定價回購模型及霍比特隊長激勵模型,并推出平臺資產透明和交易數據可信機制。霍比特交易所由火幣、OKEx等56家資本共同投資,主營幣幣、合約、杠桿、期權等業務,平臺上主流幣及合約交易擁有優秀流動性和深度。[2020/8/14]
對于本次數據泄露事件,一名業內安全專家向筆者表示,“對于微博的數據泄露,第一不能輕視,第二也不用太夸大,因為這是我們每年許多數據泄露事件中的一起。現在,隨著所有互聯網公司都在做數字化轉型,其實每一個企業都掌握了大量客戶信息。這些信息如果保護不到位的話,都會出現數據泄露。”
“無論是物理世界,還是數字世界,它都不是100%的安全,一定會有各種各樣的風險。數據泄露,其實是數字化世界中非常普遍、需要重視的安全風險之一。”
2原因分析
在今天的互聯網上,數據泄露層出不窮。在《2019年數據泄露全年盤點》中,筆者從公開渠道統計出數據泄露事件一共有43件,涉及各行各業。
左耳朵耗子在極客時間的《從Equifax信息泄露看數據安全》中指出了數據泄露發生的原因:
利用程序框架或庫的已知漏洞。比如,美國征信機構Equifax發生的1.45億用戶數據泄露,就是利用ApacheStruts的已知漏洞;
暴力破解密碼。攻擊者利用密碼字典庫或是已經泄露的密碼來“撞庫”;
代碼注入。通過程序員代碼的安全性問題,如SQL注入、XSS攻擊、CSRF攻擊等取得用戶的權限;
利用程序日志不小心泄露的信息;
社會工程學
此外,他還闡述了因數據管理問題而發生的數據泄露,比如只有一層安全、弱密碼、向公網暴露了內部系統、安全日志被暴露、保存了不必要保存的數據和密碼沒有被合理地散列等。
具體到本次微博的數據泄露,這名資深安全人士指出,根據目前披露的一些信息,在很多社交平臺,它都有根據用戶通訊錄去查找好友的功能。以微博為例,用戶注冊登錄后,它會詢問你是否要匹配通訊錄中的好友。“除了微博,拼多多、京東、抖音都有類似的功能”。
這名資深安全人士說,“微博的數據泄露,很大概率可能是黑灰產的攻擊者利用接口的業務功能考慮不周全或有缺陷的情況,在本地通過腳本或自動化工具去大量生成。”
黑產或灰產會利用手中工具在本地生成大量連續的手機號,利用微博的接口,去匹配微博上面的賬號。通過這種方式,它可以生成你的微博和手機信息的綁定,利用這種綁定去準確定位你的微博。“有了手機號后,可以去匹配一些其他的信息,找到你的QQ號、身份證號碼等。匹配到一些信息后,它還可能拿到你的賬戶密碼,然后撞庫找到其他信息。”他說。
簡言之,利用微博,定位到個人、手機號、微博ID和QQ號。拿到手機號和QQ后,再去獲取身份證信息、密碼信息等。
32個小建議,讓你的數據更安全
對網友而言,我們雖然是個人信息數據的擁有者,但不是數據的控制者。“當我們把信息委托給某一個平臺,那我們其實將主動權交給了對方。”
作為一個普通人,我們可以采取一些舉措去有效地保護個人數據:
在不同平臺設置不同密碼,并在某個固定時間去修改所有密碼。這樣雖然麻煩點,但是好處是,一旦數據泄露,影響面比較小。并且,頻繁修改密碼后,即使發生泄露,信息有效性的時間會比較短;
重要信息分類使用。當獲取服務時,手機要綁定個人信息,要多加注意被綁定的信息。
4專家支3招,企業防泄露
無疑,微博的數據泄露給廣大企業敲響了警鐘。當數據成為這個時代的“石油”,它就成為許多人爭奪的對象。
對企業或組織機構而言,它們對數據泄露應采取積極主動的態度,避免數據泄露事件發生。
有安全專家給出了3條建議:
1、完善數據安全防護手段
當前,企業對數據安全主要采取防范計算機病、網絡攻擊、網絡侵入的網絡邊界防護和終端管控手段,缺少對內容的深度識別或感知技術,并且缺少對敏感數據的全方位治理和安全管理手段。
敏感數據是什么、存放在什么位置、流轉經過哪些節點、數據泄露后如何溯源追責,企業都應該采取相應的數據安全產品和技術手段來解決這些問題。
2、建立可落地的行業性數據安全規范和企業數據安全管理制度
最近幾年,數據安全已經被逐步納入國家法規和行業規范中,包括《網絡安全法》、《網絡安全等級保護基本要求2.0》、《個人信息安全規范》、歐盟《GDPR》等。數據安全已經成為新一代信息安全標準的基本內容。
雖然這些已頒布的法律法規對數據安全和個人信息保護進行了明確立法規定,對各類組織承擔的數據安全保障義務與責任進行明確要求,并保障個人對其個人信息的安全可控。
這位專家表示,“如果上述法規要指導企業落實具體的數據安全保護手段,仍然需要結合具體行業特點,對數據安全防護的技術手段進行明確要求,增強可落實性和可執行性。”
3、提高安全意識,增加對內部數據泄露風險的防護
目前,企業對數據安全的投入,主要是針對外部攻擊的防護,如防火墻、IDS、防病軟件等,而這些技術手段很難對內部人員有意或無意的泄露行為進行識別和防護。
調查結果表明,絕大部分的泄露風險來自企業內部,其中郵件外發和互聯網上傳是兩個最方便的數據外傳手段,也是泄露事件發生概率最高的兩個渠道。
因此,企業應加強對內部員工或運維人員的安全意識管理,增加對數據防泄漏產品的投入,實行對內部人員泄露行為的檢測和管控,降低內部人員有意無意的拷貝、外發和上傳等操作帶來的數據泄露風險。
小號君預測,周三白天,三大股指下跌幅度均已觸發交易限制,晚上美股開盤肯定會再次熔斷。沒想到比預測來得稍晚了一些,3月18日下午12點56分,標普500指數大跌7%,觸發熔斷機制.
1900/1/1 0:00:00文:嚯嚯 來源:蜂巢財經 編者注:原標題為《追蹤PlusToken》比特幣2天內跌了近20%,4天前出現1.3萬余BTC異動的跑路項目PlusToken再度被列為“砸盤”的嫌疑對象.
1900/1/1 0:00:00來源:證券日報 見習記者?余俊毅 自新冠肺炎疫情爆發以來,云辦公、數字化以及區塊鏈都成為火熱的轉型方向。不少企業在尋找轉型的機遇,開始了新的布局.
1900/1/1 0:00:00研報:識別“具有系統重要性”的區塊鏈銀行的協議可以預防市場崩潰:金色財經報道,泰國Chulalongkorn 大學研究員 Kanis Saengchote 最近開發了一個框架.
1900/1/1 0:00:00IntoTheBlock表示,目前大量以太坊的持有者處于虧損狀態。不過根據多項指標估計,隨著以太坊即將迎來反彈,他們可能很快就會開始獲利.
1900/1/1 0:00:00來源:小蔥區塊鏈 亞盤盤前美聯儲再度進行緊急降息,美聯儲表示,為應對公共衛生事件給包括美國在內的很多國家的社會和經濟造成的損害,美聯儲從即日起降息100個基點至0-0.25.
1900/1/1 0:00:00