切换到宽版
  • 1442阅读
  • 0回复

新浪微被工信部约谈新浪微被工信部约谈 [复制链接]

上一主题 下一主题
在线郁新竹
 

只看楼主 倒序阅读 使用道具 楼主   发表于: 昨天 04:18
姹傚寘鍏荤綉

      据工信部官网3月24日消息,3月21日,针对媒体报道的新浪微因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微相关负责人进行了问询约谈。
      

      
      一是要尽快完善隐私政策,规范用户个人信息收集使用行为;
      
      二是要加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;
      
      三是要加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;
      
      四是要在发生重大数据安全事件时,及时告知用户并向主管部门报告。
      
      对此,新浪微回应称,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
      
      事件回顾
      
      3月4日,有暗网用户发布了一则名为“5.38亿微用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,价1388美元。其中绑定手机数据包括用户ID和手机号,账号基本信息包括昵称、头像、粉丝数、所在地等。
      
      经安全圈人士验证,部分测试数据属实。
      
      18日晚,默安科技创始人兼CTO云舒发提及此事。很快,微CEO王高飞(@来去之间)回复称“是2014年以前网易那次撞库的”。
      
      随后,微安全总监罗诗尧则解释称,此次泄露的手机号是“2019年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的”,并表示微内部发现异常后“马上堵住了口子”,第一时间报了警(相关微已被删除)。
      
      此后,微对AI财经社表示,此次数据泄露应该追溯到2018年底。当时,有用户通过微相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出。
      
      微还强调,微一直有提供根据通讯录手机号查询微好友昵称的服务,但不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码,对微服务没有影响。未来微将不断强化安全保护策略。
      
      然而,有安全圈人士发文称,在Telegram找到了卖微数据的一个自动交易机器人,并成功买到了同事的姓名、手机号、QQ号、微账号密码、邮箱等,再利用平台提供的其他服务,位置信息、户籍、地址、身份证号也都可查。
      
      来源:南方都市报(nddaily)
      
      
快速回复
限80 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个