據工信部官網3月24日消息,3月21日,針對媒體報導的新浪微博因用戶查詢接口被惡意調用導致App數據泄露問題,工業和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談。
據悉,工信部要求新浪微博按照《網絡安全法》《電信和網際網路用戶個人信息保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步採取有效措施,消除數據安全隱患。具體要求有:
一是要儘快完善隱私政策,規範用戶個人信息收集使用行為;
二是要加強用戶信息分類分級保護,強化用戶查詢接口風險控制等安全保護策略;
三是要加強企業內部數據安全管理,定期及新業務上線前要開展數據安全合規性自評估,及時防範數據安全風險;
四是要在發生重大數據安全事件時,及時告知用戶並向主管部門報告。
對此,新浪微博回應稱,公司高度重視數據安全和個人信息保護,針對此次事件已採取了升級接口安全策略等措施,後續將按照工信部要求,落實企業數據安全主體責任,切實做好用戶個人信息保護工作。
事件回顧
3月4日,有暗網用戶發布了一則名為「5.38億微博用戶綁定手機號數據,其中1.72億有帳號基本信息」的交易信息,售價1388美元。其中綁定手機數據包括用戶ID和手機號,帳號基本信息包括暱稱、頭像、粉絲數、所在地等。
經安全圈人士驗證,部分測試數據屬實。
18日晚,默安科技創始人兼CTO雲舒發博提及此事。很快,微博CEO王高飛(@來去之間)回復稱「是2014年以前網易那次撞庫的」。
隨後,微博安全總監羅詩堯則解釋稱,此次泄露的手機號是「2019年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的」,並表示微博內部發現異常後「馬上堵住了口子」,第一時間報了警(相關微博已被刪除)。
此後,微博對《AI財經社》表示,此次數據泄露應該追溯到2018年底。當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個帳號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
微博還強調,微博一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,但不提供用戶性別和身份證號等信息,也沒有「根據用戶暱稱查手機號」的服務。因此這起數據泄露不涉及身份證、密碼,對微博服務沒有影響。未來微博將不斷強化安全保護策略。
然而,有安全圈人士發文稱,在Telegram找到了售賣微博數據的一個自動交易機器人,並成功買到了同事的姓名、手機號、QQ號、微博帳號密碼、郵箱等,再利用平台提供的其他服務,位置信息、戶籍、地址、身份證號也都可查。
)
【來源:人民日報】
版權歸原作者所有,向原創致敬