新浪微博用户流失（微博5.38亿条用户数据暗网出售）

点击上方 "程序员小乐"关注, 星标或置顶一起成长

每天凌晨00点00分, 第一时间与你相约

每日英文

Never expect, never assume, and never demand. Just let it be, because if it's meant to be, it will happen the way you want it to.

永不期待，永不假设，永不强求。顺其自然，若是注定发生，必会如你所愿。

每日掏心话

其实，许多事从一开始就已预感到了结局，往后所有的折腾，都不过只是为了拖延散场的时间 。

来自：安全圈 | 责编：乐乐

程序员小乐(ID:study_tech)第 812 次推文 图片来自百度

往日回顾：最全最强解析：支付宝系统架构内部剖析（架构图）

正文

3月19日晚间，业内大佬反应，称：在Telegram上通过交易，查到了自己微博绑定的主要信息，包括账号身份证号、密码、手机号等等，有的人的个人信息还包括使用过的多个老密码。微博数据突遭泄露

3月19日消息，微博名为“安全_云舒”的用户转发微博时称：“很多人的手机号码泄露了，根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码，来加我微信了。”在其微博下，有不少网友留言表示自己也疑似遭遇了数据泄露。连微博“老大哥”“来去之间”（微博CEO，王高飞）也不幸中招。

针对“数据泄露”事件，微博方面回应媒体称内部正在了解情况。很快，微博针对微博数据泄露一事回应承认属实，目前已及时强化安全策略，并表示这起数据泄露不涉及身份证、密码，对微博服务没有影响。但是微博还称，“此次数据泄露应该追溯到2018年底，当时，有用户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。其一直有提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有“根据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码，对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称，不涉及其余隐私数据。”微博安全总监罗诗尧表示：“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的。”

值得注意的是，认证为微博安全总监的网友@罗诗尧也在评论中回复称，这应该是此前出现了数据“撞库”或“漏水”现象，“多谢关心，每隔段时间就有人在网上卖（数据），每次都会引起一波舆情，本不想回应，这条微博今后还会用得上。”

至于“撞库”或“漏水”，就不多说了。曾在2016年，微博即与脉脉就抓取用户数据等曾对簿公堂，当时，脉脉也被微博控告称通过用户手机通讯录来非法获取通讯录和新浪微博用户的对应关系。此次数据泄露虽未能确定是否从微博端暴露，但是通过微博这一公开平台，可以微博ID查出手机号，通过手机号可以获取到更多密码、个人身份信息等内容。

Telegram上的数据灰产

Telegram是一款匿名聊天软件。如果在这款聊天软件上搜索「社工库」，你便能找到网传出售5亿微博用户数据的灰产商家。据数位在「社工库」查找自己信息的人士反映，他们查到的个人资料几乎都属实，不仅手机号是真实的，甚至连微博密码都是真实的。经过验证发现，「社工库」出售的不仅仅是微博相关数据，它还支持QQ查手机/手机查QQ，微博uid查手机/手机反查微博，贴吧账号查手机/手机查贴吧账号。此外，「社工库」甚至可以可以提供密码、快递、开房、户籍、地址、身份证 、邮箱、账户、个人征信报告等全方位的数据隐私查询服务。这几乎意味着，如果你想要窥探某个人，而「社工库」又拥有他的数据，你只需要花一定数量的金钱，就能够得到你想要的信息。——甚至是那些社会名流，也不能幸免。

数字货币充当支付手段

查询这些数据所需要花费的金钱是多少呢？他们又是如何收钱的呢？根据教程，「社工库」以「积分机制」的形式贩卖服务。用户可以通过BTC或者以太坊为服务充值以获取积分，然后使用积分可以查询各种服务。当然，在「社工库」的话语体系里，这种购买行为被称之为「赞助」。通过0.00678个比特币，或者0.358个以太坊，用户可以获260积分。充值积分越多，获得单个积分也就越便宜，例如0.01个比特币能够获得499积分，0.03比特币能够获得2303积分，0.05个比特币能够获得5756积分。此外，如果你能够为「社区库」贡献数据，你还能够获得奖励积分。其中，10积分可以做一次普通查询，约等于10元一次；50积分（50元）可以查一个贴吧/QQ微博套餐服务；个人征信报告则卖到了1200元。

交易流程

贴吧/QQ/微博/LOL查绑（每次30-80分）

输入手机/贴吧ID/微博ID/QQ/LOL 互相查询对应绑定信息。此灰产工具宣称自己是“全网独家数据”，外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。支持QQ查手机/手机查QQ，微博uid查手机/手机反查微博，贴吧账号查手机/手机查贴吧账号，LOL昵称查对应QQ、手机、姓名等。微博ID就是微博用户主页后面的数字，有些用户是个性域名，可以进入主页右键查看源码，如下图OID即为微博ID。

比如：查名人微博

1、我们先去李X乐老师微博，打开他的主页，通过chrome右键打开“源码”模式，获取到李老师的OID：

2、根据李老师的OID，去查询具体信息李老师的手机号、QQ号已经被查到了

3、拿到了手机号，就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询：

可以看到，通过手机号查询得知，我已经暴露了自己的多个密码、真实姓名！

由于灰产交易在今日引发了媒体的强烈关注，加入Telegram群购买服务的人也随之激增。目前尚不清楚，这件事究竟为数字货币行业导入了多少流量，但比特币和以太坊的价格在今日暴涨。其中比特币价格上涨了8.6%，至5800美元；以太坊的价格上涨了8.4%，至125美元。

总结

此次微博数据泄露可能性有很多种，无论怎样，在数据泄露异常严重的今天，这种情况在安全圈内也是见怪不怪。废话不多说，赶紧去改密码吧！参考文章内容来源：cnbeta.com/articles/tech/957427.htmmp.weixin.qq.com/s/LzxrIgFeA6b0DkfoO0DJTwmp.weixin.qq.com/s/LzxrIgFeA6b0DkfoO0DJTw

欢迎在留言区留下你的观点，一起讨论提高。如果今天的文章让你有新的启发，学习能力的提升上有新的认识，欢迎转发分享给更多人。

猜你还想看

阿里、腾讯、百度、华为、京东最新面试题汇集

统一异常处理介绍及实战，看这篇就对了！

真正理解Mysql的四种隔离级别，看了都说好！

GitHub宣布收购npm，微软或成最大赢家！开源界野蛮竞争影响1200万开发者

关注订阅号「程序员小乐」，收看更多精彩内容嘿，你在看吗？

,