文/熊志
(作者熊志,荔枝新闻特约评论员,资深评论人;本文系荔枝新闻客户端、荔枝网独家约稿,转载请注明出处。)
3月21日,针对新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局,对新浪微博相关负责人进行了问询约谈,要求新浪微博进一步采取有效措施,消除数据安全隐患。
本次数据泄露风波的起源是,3月初,有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,中间包括微博用户ID、手机号以及头像、粉丝数、所在地等信息。
“5.38亿”的天文数字如果属实,它几乎覆盖了全部的微博用户,自然会引发广泛的隐私担忧。根据媒体报道,暗网上的交易已被限制,目前无人下单,但这改变不了大量用户信息被暴露的事实,无疑再次敲响了隐私安全的警钟。
微博方面回应称,一直提供查询通讯录好友微博昵称的服务。也就是说,用手机号注册微博后,授权微博读取通讯录,可以知道手机通讯录中联系人的微博基本信息。所以,泄露源头未必是微博,不排除黑产从业者通过收集手机号,来反向收集微博信息,关联捆绑后售卖。
但有两点需要注意。首先,新浪微博表示,“并非微博泄露数据”,不过不少用户的测试结果显示,可以利用微博ID反查出手机号码。另一方面,这次风波涉及的数据量达数亿条,如此大规模的信息泄露情况,难道微博没有基本的风险预警?
即便微博同样是受害者,上亿条关联了微博ID、手机号以及粉丝、地理信息的数据,在暗网公开叫卖,说明地下黑产已经运作了很久。事实上,微博方面也承认,此次数据泄露可以追溯到2018年底,有用户在微博接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称。用户数据被大规模收集匹配,微博隐私安全保护机制的漏洞难辞其咎。
因此,这次工信部门约谈微博时强调,尽快完善隐私政策,“强化用户查询接口风险控制等安全保护策略”。不管泄露源头在哪里,作为存储了海量用户数据的互联网平台,微博都有责任和义务堵住数据泄露的漏洞,防止黑产窃取并倒卖用户信息。
现在几乎每一个APP,在登录之前,都会读取我们的手机号。为了提升用户粘性,它们会想方设法获取更多的信息,以便精准地进行用户画像。但在用户交出隐私数据的时候,互联网平台未必都具备了足够完善的安全保护策略。尽管泄露不是有意为之,但数据存储、使用和管理的漏洞存在,为黑产变相提供了生存土壤。
而且,像手机号以及微博ID、粉丝、地理信息等,虽然多数是半公开的,不是绝对敏感的隐私信息,但在地下黑市中,它可以成为窥探用户全貌的一块拼图。从身份信息到社交账户信息,数据泄露的渠道越来越多,我们便越可能处在透明的“裸奔”状态。
2018年,英国政治咨询公司剑桥分析被爆不正当使用脸书公司8700万用户的隐私数据,帮助特朗普赢得2016年美国总统大选;同年,中国华住集团发生大规模信息泄露事件,1.23亿条官网注册资料、1.3亿条入住登记身份信息以及2.4亿条详细开房记录被泄露……当下,数据泄露的话题似乎已经司空见惯,然而我们要看到,数据泄露的规模和数量级不断上升,动不动就涉及上亿条,不仅在中国,整个国际范围内都如此。隐私保护的形势越来越严峻,要引起极大重视,决不能以“老生常谈”为由而无所作为。
保护用户隐私是大数据时代亟待解决的重要问题。工信部要求微博“落实企业数据安全主体责任”,这样的提醒适用于每个平台——守卫隐私安全,不仅要在收集信息时适可而止,更要在数据的管理上消除一切隐患。当然,最重要的是,怎么落实?我们期待看到平台拿出整改的决心和实际行动,期待漏洞早日被修补。
欢迎关注荔枝锐评(lizhirp)微信公众号: