（观察者网 文/张珩）3月19日，原阿里集团安全研究实验室总监，现任默安科技CTO魏兴国发布的一条微博，把微博推上了风口浪尖。

魏兴国称，微博数据泄露了不少用户的手机号，当中涉及不少微博认证的明星、官员、企业家。

对此微博回应表示：“此次数据泄露应该追溯到2018年底，当时，有用户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。”

微博还称：“微博一直有提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有‘根据用户昵称查手机号’的服务。因此这起数据泄露不涉及身份证、密码，对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称，不涉及其余隐私数据。”目前微博已经及时强化安全策略，并将不断强化。

在魏兴国发布的微博评论区中，有网友曾经表示，有超过5.38亿条微博用户信息在暗网出售，其中1.72亿条有账户基本信息，售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。

目前，魏兴国已经将上述微博删除，并表示数据泄露应该是被人通过接口薅了一些数据。

微博数据泄露

3月19日，微博用户@安全_云舒发布微博表示：“很多人的手机号码泄露了，根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码，来加我微信了。”

随后他还称：“这条被限了，但是隐瞒改变不了真相。事实上就是很多人的手机号码泄露了，根据微博账号就能查到手机号，我相信包括明星、企业家、公务员等人在内，也包括我的手机号，也包括来总的，也包括各位的。”（观察者网注：来总代指微博用户“来去之间”，现实中是微博CEO王高飞）。

魏兴国微博

观察者网查询发现，微博用户@安全_云舒实为默安科技CTO，原阿里集团安全研究实验室总监魏兴国，“云舒”是其在阿里巴巴的花名。

随后微博认证用户，微博安全总监@罗诗尧也在评论中表示，这是此前数据出现了“撞库”或“漏水”现象，“多谢关心，每隔段时间就有人在网上卖（数据），每次都会引起一波舆情。”

罗诗尧微博

值得注意的是，罗诗尧所说的撞库在国内数据安全领域曾经多次发生，12306、京东都曾经是撞库的受害者。2015年，网易邮箱出现了多达5亿用户数据泄露事件，彼时网易声称，这是因为网易遭到黑客撞库所导致。

所谓撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

据了解，通过这样的手法，几乎可以对付任何网站登录系统，就相当于给自己配了一把“万能钥匙”。

而罗诗尧所说的漏水则是指企业某些非核心业务团队规模小，没有按照统一规范流程搭建业务，因此出现风险，比如没有做好关键数据隔离、权限分层管控、数据加密存储等关键事项。

本文系观察者网独家稿件，未经授权，不得转载。