3月19日，默安科技CTO魏興國發(fā)微博稱，微博數(shù)據(jù)泄露了不少用戶的手機號，當中涉及不少微博認證的明星和企業(yè)家。

　　亦有網(wǎng)友在他的微博評論區(qū)表示：“有超過5.38億條微博用戶信息在暗網(wǎng)出售，其中1.72億條有賬戶基本信息，售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等�！�

　　目前，這條微博已經(jīng)刪除。

　　針對此事，微博方面回應(yīng)稱，數(shù)據(jù)泄露屬實，目前微博已經(jīng)及時強化安全策略，微博一直有提供根據(jù)通訊錄手機號查詢微博好友昵稱的服務(wù)，用戶授權(quán)后可以使用該服務(wù)。

　　但微博不提供用戶性別和身份證號等信息，也沒有“根據(jù)用戶昵稱查手機號”的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼，對微博服務(wù)沒有影響。

　　據(jù)此我們可以判斷出這次微博個人信息泄漏的安全事件，其原因應(yīng)該是通訊錄好友匹配攻擊導致的。很多社交App都有通過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶賬號的關(guān)聯(lián)。比如通過偽造的手機號匹配好友，并不斷列舉，就能關(guān)聯(lián)出所有用戶帳號到微博ID到手機號的關(guān)系。

　　本次事件糾其本質(zhì)其實是利用合法API的不合理使用來套取、收集信息的過程，簡單來講就是一個爬蟲引發(fā)的血案。

　　有關(guān)爬蟲的是是非非實在太多了，據(jù)筆者觀察2019年幾乎所有的大數(shù)據(jù)即爬蟲公司全部被查，包括新顏科技與魔蝎科技的CEO被查、公信寶被封、聚信立也宣布將暫停爬蟲服務(wù)、國內(nèi)大數(shù)據(jù)風控平臺龍頭同盾科技也被曝解散爬蟲部門。

　　這其中最惹人關(guān)注的事件，還是那位來自巧達科技的程序員，因為寫了一段爬蟲程序，非法從某招聘網(wǎng)站上下載簡歷信息而被起訴，引發(fā)了全網(wǎng)關(guān)于程序員面向“監(jiān)獄”編程的大討論。

　　而站在筆者角度來看，有關(guān)爬蟲的爭議和信息泄漏防護需要從數(shù)據(jù)持有方和數(shù)據(jù)爬取方兩個角度來審視。

　　數(shù)據(jù)持有方的盾：DLP數(shù)據(jù)泄露防護系統(tǒng)

　　這次信息泄漏事件發(fā)生后，我們可以看到微博第一時間就回應(yīng)不涉及身份證、密碼等敏感信息的外流，我相信這背后的底氣還是來自于微博對其數(shù)據(jù)泄漏防護(Data leakage prevention, DLP)的信心。

　　遠程辦公大背景下，先要做好內(nèi)部預防：據(jù)國家計算機信息安全測評中心數(shù)據(jù)顯示，重要資料被黑客竊取和被內(nèi)部員工泄露的比例為1：99.也就是說有互聯(lián)網(wǎng)出口的企業(yè)，其內(nèi)部重要機密通過網(wǎng)絡(luò)泄密而造成重大損失的事件中，只有1%是被黑客竊取造成的，而都是由于內(nèi)部員工有意或者無意之間泄露而造成的。尤其是在目前遠程辦公的背景下，這種由員工引發(fā)的信息泄漏情況其實風險更高，企業(yè)在數(shù)據(jù)邊界建立一套安全防護體系十分重要。

　　員工終端出口防控：部分大廠都有一套數(shù)據(jù)沙盒運行或者加密機制，用來阻止數(shù)據(jù)由使用的客戶端流出，并且一般在DLP的整體解決方案中，還會使用圖像處理技術(shù)還會將員工屏幕圖像的頻域中加入特定指紋，以追蹤員工泄漏截屏信息。記得在2017年阿里腳本秒殺月餅的事件中，就有人因泄漏截圖信息而被處理，這背后其實就是頻域指紋的技術(shù)。再有就是對內(nèi)網(wǎng)中包括U盤、移動硬盤、紅外、WIFI、藍牙等輸出端口實施監(jiān)控，對拷貝到移動存儲設(shè)備的文檔進行強制加密。

　　互聯(lián)網(wǎng)出口防控：而針對互聯(lián)網(wǎng)出口DLP技術(shù)幾乎和AI圖像處理與NLP技術(shù)同步發(fā)展，一般都會使用最新的分類模型，監(jiān)控異常流量，防止數(shù)據(jù)外泄，這里還是再次強調(diào)一下系統(tǒng)上云的重要性。

　　數(shù)據(jù)爬取方之道：避免面向監(jiān)獄編程

　　根據(jù)最新的流量分析，互聯(lián)網(wǎng)40%左右的流量都是機器人也就是爬蟲發(fā)起的，站在數(shù)據(jù)爬取方的角度，必須關(guān)注爬蟲技術(shù)的法律邊界，“技術(shù)無罪”的號往往不能保護廣大程序員。

　　而有關(guān)爬蟲的法律問題，筆者特意咨詢了法務(wù)同事，根據(jù)我國的《刑法》、《網(wǎng)絡(luò)安全法》的規(guī)定，爬蟲可能涉及到的犯罪行為有如下情況：

　　1.首先侵入國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，不論情節(jié)嚴重與否，構(gòu)成非法侵入計算機信息系統(tǒng)罪。

　　2.違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，構(gòu)成“侵犯公民個人信息罪”。也就是說通過出售個人信息獲利或者侵入含有國家機密的系統(tǒng)均會構(gòu)成犯罪，但這兩種情況均不會是無心之過，但是以下規(guī)定需要格外注意。

　　3.違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，構(gòu)成犯罪。也就是如果使用爬蟲的抓取力度過大，造成被攫取的網(wǎng)站無法正常運行的情況，并造成嚴重后果的也會構(gòu)成犯罪。我們前文所述巧達科技的程序員也是因為爬蟲流量太大，造成目標網(wǎng)絡(luò)接近癱瘓，而涉嫌觸犯此條被捕。

　　也就是說避免面向監(jiān)獄編程的三原則是

　　1. 不要觸碰國家事務(wù)、國防建設(shè)的系統(tǒng)

　　2. 不要觸碰個人信息，更不能販賣個人信息

　　3. 合理設(shè)置爬取流量，避免DDOS攻擊式的爬蟲

　　另外為避免其它民事糾紛，要盡量遵守Robots 協(xié)議。Robots 協(xié)議是一種存放于網(wǎng)站根目錄下的 ASCII 編碼的文本文件，它通常告訴網(wǎng)絡(luò)搜索引擎的漫游器也就是爬蟲，此網(wǎng)站中的哪些內(nèi)容是不應(yīng)被爬蟲獲取的，哪些是可以被爬蟲獲取的。嚴格按照 Robots 協(xié)議 爬取網(wǎng)站相關(guān)信息一般不會出現(xiàn)太大問題。

　　因為司法實踐中一般也會考慮行業(yè)的通行規(guī)范，因此一般遵守Robots 協(xié)議得到的信息不會被認為是商業(yè)機密或者個人隱私數(shù)據(jù)�；蛘哒f遵守協(xié)議所得的信息即使涉密其泄密責任一般也不會由爬取方承擔。

　　實際遭遇信息泄漏時應(yīng)該做什么

　　在所有的信息泄漏中最麻煩的就是密碼或者身份證信息泄漏，對此筆者有如下建議：

　　1. 檢查自己的征信記錄：如果征信記錄中有異常，尤其是遭遇不明原因的貸款時，那么大概率是遇到嚴重的信息泄漏情況了。此時如果聯(lián)系不上貸款平臺，可以盡早報案，以保護自己的合法權(quán)益。

　　2. 解除三方平臺的綁定關(guān)系：一般來說銀行對于客戶銀行卡的保護力度還是比三方支付公司要大的，所以如遇信息泄漏，可以先解除與三方支付平臺的綁定關(guān)系及關(guān)閉定時自動扣款服務(wù)，必要時再更換銀行卡。