538 milyon Weibo kullanıcı bilgisi sızdırıldı, dark web yalnızca 10.000 yuan'dan daha az sattı
Son zamanlarda bazı kullanıcılar, karanlık web'de 538 milyon Weibo kullanıcı bilgisinin satıldığını keşfetti ve bunların 172 milyonunun temel hesap bilgileri vardı. Tüm verilerin fiyatı 0.177 Bitcoin olup, RMB'de yaklaşık 7350 yuan'dır. İlgili hesap bilgilerinin; kullanıcı kimliği, Weibo sayısı, hayran sayısı, takipçi sayısı, cinsiyet, coğrafi konum vb. İçerdiği bildirildi.
19 Mart'ta, "Security_ Yunshu" adlı bir Weibo kullanıcısı Weibo'da yeniden paylaşımda bulundu: "Birçok kişinin cep telefonu numarası sızdırıldı ve Weibo hesaplarına göre bulunabilirler ... Birisi Weibo sızıntıları yoluyla buldu Cep telefonu numaram, beni WeChat'e eklemek için gel. "
Weibo mesajında, birkaç Weibo netizeni cep telefonu numaralarının sızdırıldığını doğruladı. Bir netizen bir mesaj bıraktı, "Az önce benimkini kontrol ettim ve gerçekten sızdırıldı. Telefon numarası, kimlik kartı ve fiziksel adres doğru."
Netizenlerin cep telefonu numaralarının yanı sıra "ünlüler, girişimciler, memurlar vb." İçeren cep telefonu numaraları da sızdırıldı.
"Security_ Yunshu" Weibo'nun kişisel ana sayfasının, Moan Technology'nin kurucusu ve CTO'su ve Alibaba Group'un güvenlik araştırma laboratuvarının eski yöneticisi olduğunu gösterdiği bildirildi. 36Kr'ın doğrulamasına göre, bu netizen Moan Technology CTO'su Wei Xingguo.
Yazarın yazdığı tarih itibariyle, "Safety_ Yunshu" tarafından yazılan 2 ilgili Weibo gönderisi silindi.
Weibo yanıtı
Bu veri ihlaline yanıt olarak, Weibo tarafından "Weibo Güvenlik Direktörü" olarak onaylanmış bir netizen olan Luo Shiyao, Weibo'da şu cevabı verdi: Endişeniz için teşekkür ederiz. Birisi (veri) çevrimiçi her satıldığında, her seferinde bir kamuoyu dalgasına neden olacaktır. Cevap vermek istemedim, bu Weibo gelecekte hala kullanılacak.
Bu veri ihlalinin nedenine gelince, Güvenlik _ Yunshu, bu veri ihlalinin muhtemelen Weibo'nun "veri sürükleme veritabanı" olarak adlandırılan veritabanından ziyade, 2019'da arayüz aracılığıyla "bazı verileri elinden almış" olmasından kaynaklandığını söyledi.
Ve Luo Shiyao, "Sızan cep telefonu numarası, 19 yılında adres defteri yükleme arayüzü aracılığıyla şiddetle eşleştirildi ve kamuya açık bilgilerin geri kalanı çevrimiçi olarak yakalandı."
Ayrıca, 19 yıl içinde gözden geçirilen verilerin bir kısmı içeride bir anormallik tespit edildiğinde derhal bloke edildi. En kısa sürede polise haber verdik ve delilleri aldıktan sonra ilgili bilgileri polise ilettik. Aynı zamanda online satış bilgilerini takip ediyoruz. Siyah ve gri ürünler. Kullanıcı gizliliği, özellikle cep telefonu numaraları söz konusu olduğunda son derece önemlidir. "
Weibo'ya göre Weibo, Weibo arkadaşlarının rumuzlarını her zaman adres defterinin telefon numarasına göre sorgulama hizmeti vermiştir.Kullanıcılar bu hizmeti yetkilendirmeden sonra kullanabilirler.Ancak Weibo, kullanıcı cinsiyeti ve kimlik numarası gibi bilgileri vermez ve kullanıcı rumuzuna dayalı bir bilgi yoktur. Cep telefonu numarası "hizmeti. 2018 sonunda bazı kullanıcılar, adres defterlerini cep telefonları aracılığıyla toplu olarak yüklemek, milyonlarca hesap takma adını eşleştirmek ve diğer kanallardan elde edilen bilgilerle birlikte satmak için Weibo ile ilgili arayüzleri kullandı. Weibo arayüzüne yapılan yasa dışı çağrı ile eşleştirilen bilgiler, Weibo hesabının kimlik kartları ve şifreleri içermeyen ve Weibo hizmetleri üzerinde hiçbir etkisi olmayan takma adıdır. "Anomaliyi keşfettikten sonra, güvenlik stratejimizi zaman içinde güçlendirdik ve gelecekte de güçlendirmeye devam edeceğiz."
Bu veri ihlali ile ilgili olarak, bir endüstri güvenliği uzmanı yazara, "Weibo'nun veri ihlali ilk olarak küçümsenmemeli ve ikincisi abartılmamalıdır, çünkü bu her yıl birçok veri ihlalimizden biridir. Şimdi. Tüm internet şirketleri dijital dönüşüm gerçekleştirirken aslında her firmada büyük miktarda müşteri bilgisi var. Bu bilgiler doğru şekilde korunmazsa veri sızıntısı meydana gelecektir. "
"İster fiziksel dünya ister dijital dünya,% 100 güvenli değil. Çeşitli riskler olması kaçınılmaz. Veri sızıntısı aslında dijital dünyada çok yaygın olan ve dikkat gerektiren güvenlik risklerinden biridir."
sebep analizi
Bugün internette veri ihlalleri sonsuzdur. Yazar, "2019 Yılında Yıllık Veri İhlali Envanteri" nde, kamu kanallarından çeşitli sektörleri ilgilendiren toplam 43 veri ihlali saydı.
Sol kulaklı fare, Geek Time'ın "Equifax Bilgi Sızıntısından Veri Güvenliği" bölümünde veri ihlalinin nedenini belirtti:
Ek olarak, yalnızca bir güvenlik katmanı, zayıf parolalar, genel ağa maruz kalan dahili sistemler, açığa çıkan güvenlik günlükleri, gereksiz verilerin kaydedilmesi ve parolaların makul olmaması gibi veri yönetimi sorunlarından kaynaklanan veri sızıntısını da açıkladı. Hash vb.
Weibo'nun bu kez veri sızıntısına gelince, bu üst düzey güvenlik görevlisi, şu anda ifşa edilen bazı bilgilere göre, birçok sosyal platformda, kullanıcı adres defterlerine dayanarak arkadaş bulma işlevi gördüğüne dikkat çekti. Weibo'yu örnek olarak ele alalım Kullanıcı kayıt olduktan ve oturum açtıktan sonra, size adres defterindeki arkadaşlarla eşleşmek isteyip istemediğinizi soracaktır. "Weibo'ya ek olarak, Pinduoduo, Jingdong ve Douyin'in hepsinin benzer işlevleri var."
Bu kıdemli güvenlik görevlisi, "Weibo veri sızıntılarının, arayüzün iş işlevlerini eksik veya kusurlu olarak kullanan ve komut dosyaları veya otomatik araçlar aracılığıyla yerel olarak oluşturulan kötü niyetli saldırganlar tarafından üretilmesi muhtemeldir. "
Siyah veya gri ürünler, yerel olarak çok sayıda sürekli cep telefonu numarası oluşturmak için ellerindeki araçları kullanacak ve Weibo'daki hesapları eşleştirmek için Weibo arayüzünü kullanacak. Bu şekilde, Weibo'nuz ve cep telefonu bilgileriniz arasında bir bağlantı oluşturabilir ve Weibo'nuzu doğru bir şekilde bulmak için bu bağlantıyı kullanabilir. "Cep telefonu numaranızı aldıktan sonra, QQ numaranızı, kimlik numaranızı vb. Bulmak için bazı diğer bilgileri eşleştirebilirsiniz. Bazı bilgileri eşleştirdikten sonra, hesap şifrenizi de alabilir ve ardından diğer bilgileri bulmak için kütüphaneye tıklayabilir." Dedi.
Kısacası, bireyleri, cep telefonu numaralarını, Weibo kimliklerini ve QQ numaralarını bulmak için Weibo'yu kullanın. Cep telefonu numarasını ve QQ'yu aldıktan sonra kimlik kartı bilgileri, şifre bilgileri vb. Alın.
Verilerinizi daha güvenli hale getirmek için 2 ipucu
Netizenler için, kişisel bilgi verilerinin sahibi olmamıza rağmen, veri denetleyicileri değiliz. "Belirli bir platforma bilgi verdiğimizde, inisiyatifi aslında diğer tarafa veriyoruz."
Sıradan bir kişi olarak, kişisel verileri etkili bir şekilde korumak için bazı önlemler alabiliriz:
Uzman desteği 3 numara, kurumsal sızıntı önleme
Kuşkusuz, Weibo'nun veri sızıntısı, işletmelerin çoğu için alarm verdi. Veriler bu çağın "petrolü" haline geldiğinde, birçok insan için rekabet konusu haline geliyor.
İşletmeler veya kuruluşlar söz konusu olduğunda, veri ihlallerine karşı proaktif bir tavır almalı ve veri ihlallerinden kaçınmalıdırlar.
Bir güvenlik uzmanı 3 öneri verdi:
1. Veri güvenliği koruma yöntemlerini iyileştirin
Şu anda, kuruluşlar veri güvenliği için bilgisayar virüslerini, ağ saldırılarını ve ağ izinsiz girişlerini önlemek için ağ sınırı koruması ve terminal kontrol yöntemlerini benimsemektedir. Derinlemesine içerik tanıma veya algılama teknolojisinden yoksundurlar ve hassas veriler için kapsamlı yönetim ve güvenlik yönetimi yöntemlerinden yoksundurlar.
Hassas veriler nedir, nerede depolanır, hangi düğümlerde dolaşır ve veri sızıntısından sonra kaynak ve hesap verebilirliğin nasıl izleneceği, işletmeler bu sorunları çözmek için ilgili veri güvenliği ürünlerini ve teknik araçları benimsemelidir.
2. Uygulanabilir bir sektöre özgü veri güvenliği özelliği ve kurumsal veri güvenliği yönetim sistemi oluşturun
Son yıllarda, veri güvenliği kademeli olarak "Siber Güvenlik Yasası", "Siber Güvenlik Seviyesi Koruma 2.0 için Temel Gereksinimler", "Kişisel Bilgi Güvenliği Yönetmelikleri" ve AB "GDPR" dahil olmak üzere ulusal düzenlemelere ve endüstri normlarına dahil edildi. Veri güvenliği, yeni nesil bilgi güvenliği standartlarının temel içeriği haline geldi.
Çıkarılan bu yasa ve yönetmelikler, veri güvenliği ve kişisel bilgilerin korunmasına ilişkin açık yasal hükümlere sahip olmakla birlikte, çeşitli kuruluşların veri güvenliği yükümlülükleri ve sorumlulukları hakkında net gereklilikler belirler ve kişilerin kişisel bilgileri için güvenli ve kontrol edilebilir olmalarını sağlar.
Uzman, "Yukarıdaki düzenlemeler şirketlere belirli veri güvenliği koruma önlemlerini uygulama konusunda rehberlik edecekse, yine de belirli endüstri özelliklerini birleştirmek ve bunların fizibilite ve uygulanabilirliğini artırmak için veri güvenliği koruma teknik önlemlerine yönelik net gereklilikler belirlemek gerekir" dedi.
3. Güvenlik bilincini geliştirin ve dahili veri sızıntısı risklerine karşı korumayı artırın
Şu anda, kuruluşların veri güvenliğine yaptığı yatırım temel olarak güvenlik duvarları, IDS, antivirüs yazılımı vb. Gibi harici saldırılara karşı koruma sağlamaktır. Bu teknik araçların, dahili personelin kasıtlı veya kasıtsız sızmasını tespit etmek ve korumak zordur.
Anket sonuçları, sızıntı riskinin çoğunun, e-posta gönderimi ve İnternet yüklemesinin en uygun iki veri giden yöntemi ve sızıntı olayları olasılığının en yüksek olduğu iki kanal olduğu kurum içinden geldiğini göstermektedir.
Bu nedenle şirketler, dahili çalışanların veya operasyon ve bakım personelinin güvenlik bilinci yönetimini güçlendirmeli, veri sızıntısı önleme ürünlerine yatırımı artırmalı, dahili personel kaçağı davranışının tespit ve kontrolünü uygulamalı ve dahili personelin kasıtlı veya kasıtsız kopyalama, dış kaynak kullanımı ve yükleme vb. İşlemlerden kaynaklanan veri sızıntısı riski.
