新浪微博回应App数据泄露：将落实企业数据安全主体责任

据工信部官网3月24日消息，3月21日，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈过。

对此，新浪微博回应称，公司高度重视数据安全和个人信息保护，针对此次事件已采取了升级接口安全策略等措施，后续将按照工信部要求，落实企业数据安全主体责任，切实做好用户个人信息保护工作。

尚法新闻（ID：zgsbfzzk）注意到，此次泄露事件并非是新浪微博首次被有关部门约谈，也不是第一次发生侵犯用户隐私行为。

因数据泄露被约谈

工信部官网显示，2020年3月21日，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈。

要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，对照工业和信息化部等四部门制定的《App违法违规收集使用个人信息行为认定方法》，进一步采取有效措施，消除数据安全隐患。

具体要求为：一是要尽快完善隐私政策，规范用户个人信息收集使用行为；二是要加强用户信息分类分级保护，强化用户查询接口风险控制等安全保护策略；三是要加强企业内部数据安全管理，定期及新业务上线前要开展数据安全合规性自评估，及时防范数据安全风险；四是要在发生重大数据安全事件时，及时告知用户并向主管部门报告。

对此，新浪微博表示，公司高度重视数据安全和个人信息保护，针对此次事件已采取了升级接口安全策略等措施，后续将按照工业和信息化部要求，落实企业数据安全主体责任，切实做好用户个人信息保护工作。

事件回顾：5亿用户数据被泄露

公开信息显示，3月4日，有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，售价1388美元。

该用户称，这些信息“均为2019年年中左右抓取”，并给出400条绑定手机号的测试数据，以及1500条账号基本信息的测试数据。其中绑定手机数据包括用户的ID和手机号，账号信息则包括用户昵称、头像、粉丝数、所在地等。

经安全圈人士验证，部分测试数据属实。

3月18日晚，默安科技创始人兼CTO云舒发博提及此事。很快，微博CEO王高飞（@来去之间）回复称“是2014年以前网易那次撞库的”。

随后，微博安全总监罗诗尧则解释称，此次泄露的手机号是“2019年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的”，并表示微博内部发现异常后“马上堵住了口子”，第一时间报了警（相关微博已被删除）。

此后，微博对《AI财经社》表示，此次数据泄露应该追溯到2018年底。当时，有用户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。

微博还强调，微博一直有提供根据通讯录手机号查询微博好友昵称的服务，但不提供用户性别和身份证号等信息，也没有“根据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码，对微博服务没有影响。未来微博将不断强化安全保护策略。

保护用户隐私信息存漏洞

尚法新闻（ID：zgsbfzzk）发现，数据泄露事件并非新浪微博首次发生侵犯用户隐私的行为。

2013年9月11日至2014年8月15日，脉脉曾经获得微博授权，用户可通过微博账户注册脉脉，同时脉脉可获得微博用户的部分信息。

但是，在合作期间，脉脉在没有得到微博授权，也未经未注册用户许可的情况下，将脉脉用户手机通讯录里的联系人与新浪微博用户对应，并展示在脉脉用户“一度人脉”中。而且，在合作终止后，仍继续使用这些信息。

2015年2月9日，因认为脉脉不当利用程序抓取微博用户信息，新浪微博将脉脉运营主体（北京淘友天下技术有限公司和北京淘友天下科技发展有限公司，以下统称“脉脉公司”）诉至北京市海淀法院，并提出高达1000万元的索赔金额。

事后，新浪微博胜诉，获得200万元赔偿，但这事件也暴露出新浪微博在保护用户隐私信息方面存在漏洞。

据中消协此前发布的报告显示，在使用APP过程中，遇到过个人信息泄露情况的受访者占比达85.2%。信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件，排名位居前三位。我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失一年高达915亿元。