打开泰伯APP,感受不一样的阅读体验
立即体验

工信部就数据泄露问题约谈新浪微博

移动支付网2020-03-26 10:18:57

摘要: 工信部就新浪微博用户A数据泄露问题对新浪微博相关负责人进行了问询约谈。

  3月25日,工信部官网消息,工信部网络安全管理局就新浪微博用户查询接口被恶意调用导致App数据泄露问题对新浪微博相关负责人进行了问询约谈。

  要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。

  网络安全管理局提出了四点要求:

  尽快完善隐私政策,规范用户个人信息收集使用行为;

  加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;

  加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;

  在发生重大数据安全事件时,及时告知用户并向主管部门报告。

  事情发展始末

  3月19日,微博网友安全_云舒转发了一条微博,掀起了一场关于“微博数据泄露”的讨论。云舒称很多人手机号码泄露了,根据微博账号可以查到手机号。

工信部就数据泄露问题约谈新浪微博
该微博已被删除

  新浪微博迅速做出了回应。新浪微博表示,或许产生了数据泄露,但是泄露的数据仅限于用户昵称,不涉及身份证、密码,这些信息可能是黑客通过其他手段从其他平台得到,对微博服务没有影响,目前已及时强化安全策略。

工信部就数据泄露问题约谈新浪微博
新浪微博回应

  此事引起了社会各界的关注,媒体争相报道。有用户向媒体表示,在暗网上可以买到包括姓名、邮箱、地址、手机号、微博账号、密码等8项信息,还有人可以买到自己的微博账号老密码、身份证号、车牌号、贴吧绑定的账号、绑定的QQ号等信息。

  泄露的数据究竟来自于哪里无法准确考证,新浪微博是不是真的非常安全也无法直接测试。目前主流舆论认为新浪微博被黑客大规模入侵的可能性不大,此次事件发生的原因可能“撞库”或者“漏水”。

  撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

  漏水则是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。

  随后,新浪微博因为此事件被工信部网络安全管理局问询约谈,也就有了文章开头的四个要求。

  互联网巨头该紧张起来了

  据了解,2019年新浪微博净营收17.7亿美元,月活跃用户达到5.16亿,日活跃用户达2.22亿。虽然和腾讯、阿里相比用户数量多有不如,但是在国内还是不折不扣的互联网巨头。

  或许新浪微博真的没有发生数据泄露,但这并不意味着新浪微博一点错都没有。

  网络安全管理局的四个要求就指出了新浪微博的错误:隐私政策不完善、用户个人信息收集使用不规范、用户信息分类分级保护不全面、用户查询接口风险控制不到位、没有定期开展数据安全合规性自评估、发生重大数据安全事件时,未及时告知用户并向主管部门报告。

  在互联网草莽时代,监管可能会对巨头束手无策,这样的情况可能约谈结束就结束了。但随着《网络安全法》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》等法律规范的出台,互联网行业规则已经改写。

  中国互联网巨头们该警醒了!

  今天会因为隐私政策不完善、用户信息分类分级保护不全面被约谈,以后也有可能因为同样的问题被行政处罚,甚至有可能因为同样的问题锒铛入狱。等到《个人信息保护法》、《数据安全法》、《数据安全管理条例》等法律规范全面出台,监管只会越来越严格。

  巨头的体量或许能让监管有所顾忌,但绝对不会受到优待,甚至会被重点监管,因为巨头拥有最多的数据,而且拥有的数据最有价值,可能造成的危害会更大。

  除了监管之外,来自外部的攻击更需要被重视。对于互联网巨头来说,由于资金充实、技术能力强大,还有多年的积累,来自外部的攻击往往显得不痛不痒,但这不是可以不重视的理由。

  由这起事件来说,无论是“撞库”还是“漏水”,很明显都没有得到应有的重视,没有用户得到风险提示,企业也没有做出改变,直至事情爆发。最后的结果就是现在这样,新浪微博虽然没有蒙受重大财务损失,但是名誉绝对是遭受了巨大损失,在监管层还挂了名,欲哭无泪。

  合规是为了更好地发展

  如前文所说,我国个人信息安全监管越来越严格,而且将来还会更加严格。在严监管的趋势下,很多机构、企业觉得不舒服、觉得被拘束了,觉得自己受到了伤害。这些机构、企业都没有认识到监管的价值。

  互联网企业是服务行业,用户是最重要的一部分,甚至可以说用户是互联网企业存在的根基,没有任何用户会喜欢欺骗他、偷他东西的服务者。监管存在得价值就是帮助互联网企业不要走歪路,不要走岔路。

  时代已经变了,企业需要转变思想,合规不是为了不被处罚,不是为了迎合监管,而是为了不被用户唾弃,是为了更好的发展。

  本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

打开APP,查看更多内容
[责任编辑:苏晨妍]
声明:泰伯网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,文章内容仅供参考。

每一篇深度报道,解读数字经济、推动商业向善、定义转型中国。关注泰伯网微信公众号,了解最全面的行业资讯。我已加入“维权骑士”(rightknights.com)的版权保护计划。

打开APP,查看精彩评论
  • GIO企业家俱乐部会员
  • 泰伯智库

加入GIO俱乐部,连接GIO、连接产业、连接资本、连接海外。

联系电话:13522258461

猜你喜欢

热文推荐

精彩活动

更多>>