Febhost看到的广告以及来自中国媒体的报道证实,目前有超过5.38亿中国社交网络微博用户的个人详细信息可在线出售。
在黑网上和其他地方发布的广告中,一名黑客声称在2019年中违反了微博并获得了该公司用户数据库的转储。
据称该数据库包含5.38亿微博用户的详细信息。个人详细信息包括真实姓名,网站用户名,性别,位置等信息(对于1.72亿用户而言)是电话号码。
不包括密码,这解释了为什么黑客只以1,799日元(250美元)的价格出售微博数据。
在这篇文章发表之前,微博发言人没有回复Febhost的置评请求,但该公司向中国媒体提供了有关此事的声明。
但是,微博的反应令人困惑。
在发给中国网站36kr等的声明中,该公司声称电话号码是在2018年底获得的,当时其工程师观察到一系列用户帐户上载了大量联系人,试图将帐户与各自的电话号码进行匹配。
但是,几名中国安全专家很快指出了该公司的回应中存在技术违规行为。首先,黑客的广告包含指示符,该指示符表明数据来自SQL数据库转储,这与公司的解释不符,即该数据是通过将联系人与其API匹配来获得的。
其次,该公司的声明也没有说明黑客如何获取其他详细信息,例如性别和位置,不公开的信息,或者在匹配联系人时由API返回。
在中国社交媒体上,关于数据的起源以及攻击者如何获得数据的猜测一直猖ramp。当安全研究人员意识到攻击者没有在出售密码时,密码喷雾或凭据填充攻击的理论很快就被驳回。
在某些广告中以“ @weibo”命名的黑客还提供了数据样本,微博用户证实这些数据是准确的。
微博表示,已就此事件通知当局,警方正在调查。
