近日，暗网出现一则出售“5.38亿微博用户绑定手机号数据”的交易信息。经安全圈人士验证，部分测试数据属实。

对此，微博安全总监罗诗尧回应称，这些手机号是2019年通过通讯录上传接口被暴力匹配的，内部发现后第一时间已报警。

多个安全监测平台监控到，有暗网用户于3月4日发布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，售价1388美元。其中绑定手机数据包括用户ID和手机号，账号基本信息包括昵称、头像、粉丝数、所在地等。

安全监测平台监控到的暗网交易信息。

该用户在商品描述中称，上述信息“均为2019年中左右抓取”，并给出400条绑定手机号的测试数据，以及1500条账号基本信息的测试数据。

18日晚，默安科技创始人兼CTO云舒发博提及此事。很快，微博CEO王高飞（@来去之间）回复称“是2014年以前网易那次撞库的”。

但是，有网友给云舒留言称，自己的微博是2019年7月份注册的，也可以查到绑定的手机号。一位资深安全人士也告诉南都记者，据他所知，有人查到了2018年10月底注册的微博账号。

随后，微博安全总监罗诗尧发博回应。他说，此次泄露的手机号是“2019年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的”，并否认是脱库（直接从数据库中导出数据），因为一些关键字段没有被放出来。

针对保护用户信息不力的质疑，他表示，微博内部发现异常后“马上堵住了口子”，第一时间报了警，取证后把相关信息交给了警方，且一直在追查网上售卖信息的黑灰产。

上述资深安全人士向南都记者解释，通讯录匹配是很多社交软件都有的功能，可以看做变相的爬虫。

它可以通过获取用户手机的通讯录接口，读取联系人的手机号并进行匹配，有的还可以伪造某个字段的所有号码，比如13900000001-13900001000，依次枚举对照。

“微博可能没有对这个接口做监控和风控，导致个人信息数据泄露”，他指出，如果关联出了用户ID到手机号，本质就属于个人信息的“重标识”了。“企业有义务防范和监控这样的数据泄露风险，就和监控数据爬虫一样。”

南都记者了解到，最新版《信息安全技术 个人信息安全规范》要求，发生安全事件后，个人信息控制者应及时将事件相关情况告知受影响的个人信息主体；如难以做到，也应发布警示信息。

“按照个人信息数据泄露的相应要求，是应该通知数据被泄露的个人的”，但他同时表示，这属于警方判断，不过就算不是脱库，这么多个人信息数据泄露也是事实。

截至发稿，云舒发布的多条相关微博或被限流已不可见，罗诗尧也删除了留言。

采写：南都记者蒋琳

编辑：尤一炜