云主机:信息时代,微博隐私安全如何保障?
2020年的3月5日,一位卖家在X网某个中文论坛内挂出一份微薄5亿用户数据进行出售。
起初,这个帖子并没有引起广泛的关注,直到3月19日,资深网络安全研究人员、默安科技联合创始人云舒在平台发了条微博,说很多人的手机号码泄露了,根据微博账号就能查到手机号;3月24日,有媒体翻出了当时X网的这个帖子,一时间引起了哗然大波。紧随其后的是,工信部约谈了新浪微博,微博给出的回应是用户数据并没有被脱库,只是通讯录上传接口被暴力匹配所导致的用户信息泄露。
在19日当天,某个境外软件的数据库机器人悄然更新了一则公告,说能够免费提供微博数据查询公民信息服务。
众所周知,微博使用的数据中心并不像五里界BGP数据中心这样具备完善的安全性能,防火墙上的配置会稍微弱一点。
先了解一下这个境外社交软件的来源。
2013年,一位俄罗斯兄弟创办了一个跨平台即时通讯软件,用户可以进行加密对话以及销毁信息。换句话说,对象A在这软件上给对象B发消息,这消息只有对象A和对象B自己知道,第三方是没有办法进行拦截的,他们也不会向相关政府提供用户信息,这一点从2018年他们被俄罗斯联邦安全局起诉就能看得出来。
它到底是不是真的非常安全、是否能保证通讯的绝对安全,并不是这篇文章的讨论内容行列内,在这里明确它的性能,主要是为了了解所带来的后果——由于这款聊天软件的安全性高,因此使用这款软件的群体基本上逐渐演变为利用信息隐蔽性接触灰产甚至黑产。比如最近的韩国N号房事件,主谋“博士”就是在这个软件上传播并贩卖网站信息的。
目前,国内的黑色产业链基本上都聚集在这里进行交易,诸如身份信息、数据买卖。
既然安全性高,并且交易的都是非法业务,肯定就会存在骗子,道理也很简单:我骗走了你的钱,你即使失去了一大笔也肯定不敢报警。
这时候,就出现了各种担保平台,比如闲鱼市场这么一个软件,与正规交易平台流程一致:用户成为店主后发布商品,买家购买商品后卖家进行发货,收到货物后确认收货了这笔钱才会到达卖家手中,他们使用的是虚拟币也就是比特币交易。而开发者同时建立了一个社工库,就是把曾经泄露过的数据进行整理,提供别人查询的一个数据库。
根据微博源IP地址在社工库中检索手机号,只需要几秒就能获得机器人反馈的绑定手机号;同时你会发现被泄露手机号的不止一个,而是囊括了明星在内的部分用户的手机号。根据免费和付费查询,还可以知道查询对象的户口所在地、住址以及行径轨迹等。
那么问题来了,这么庞大的信息链从何而来?
由于过度的采集公民信息(例如通信、交通、医疗、住宿、银行等),目前能接触到详细的公民信息不仅仅是相关政府部门,还包括了很多公司在内;当监管系统比较宽松的时候,就一定会有人开始动这方面的歪脑筋:尽管钱数目不大,但对于工薪阶级的人来说足够令其动心了。
个人网络安全是每个人拥有的权利,要保障个人信息安全说实话并不难,难的是背后的问题:要如何解决。
假如微博能够像之前小红书那样换用云主机,把服务器架设在BGP机房,或许出现这样的事情的概率就会很低了。
上一篇: 怎样配置ssl证书?
下一篇: 301重定向有什么用?