3月19日，默安科技CTO魏興國發微博稱，微博數據泄露了不少用戶的手機號，當中涉及不少微博認證的明星和企業家。

　　亦有網友在他的微博評論區表示：“有超過5.38億條微博用戶信息在暗網出售，其中1.72億條有賬戶基本信息，售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發布的微博數、粉絲數、關注數、性別、地理位置等。”

　　目前，這條微博已經刪除。

　　針對此事，微博方面回應稱，數據泄露屬實，目前微博已經及時強化安全策略，微博一直有提供根據通訊錄手機號查詢微博好友昵稱的服務，用戶授權后可以使用該服務。

　　但微博不提供用戶性別和身份證號等信息，也沒有“根據用戶昵稱查手機號”的服務。因此這起數據泄露不涉及身份證、密碼，對微博服務沒有影響。

　　據此我們可以判斷出這次微博個人信息泄漏的安全事件，其原因應該是通訊錄好友匹配攻擊導致的。很多社交App都有通過通訊錄匹配好友的功能。攻擊者可以偽造本地通訊錄來獲得手機號到微博用戶賬號的關聯。比如通過偽造的手機號匹配好友，并不斷列舉，就能關聯出所有用戶帳號到微博ID到手機號的關系。

　　本次事件糾其本質其實是利用合法API的不合理使用來套取、收集信息的過程，簡單來講就是一個爬蟲引發的血案。

　　有關爬蟲的是是非非實在太多了，據筆者觀察2019年幾乎所有的大數據即爬蟲公司全部被查，包括新顏科技與魔蝎科技的CEO被查、公信寶被封、聚信立也宣布將暫停爬蟲服務、國內大數據風控平臺龍頭同盾科技也被曝解散爬蟲部門。

　　這其中最惹人關注的事件，還是那位來自巧達科技的程序員，因為寫了一段爬蟲程序，非法從某招聘網站上下載簡歷信息而被起訴，引發了全網關于程序員面向“監獄”編程的大討論。

　　而站在筆者角度來看，有關爬蟲的爭議和信息泄漏防護需要從數據持有方和數據爬取方兩個角度來審視。

　　數據持有方的盾：DLP數據泄露防護系統

　　這次信息泄漏事件發生后，我們可以看到微博第一時間就回應不涉及身份證、密碼等敏感信息的外流，我相信這背后的底氣還是來自于微博對其數據泄漏防護(Data leakage prevention, DLP)的信心。

　　遠程辦公大背景下，先要做好內部預防：據國家計算機信息安全測評中心數據顯示，重要資料被黑客竊取和被內部員工泄露的比例為1：99.也就是說有互聯網出口的企業，其內部重要機密通過網絡泄密而造成重大損失的事件中，只有1%是被黑客竊取造成的，而都是由于內部員工有意或者無意之間泄露而造成的。尤其是在目前遠程辦公的背景下，這種由員工引發的信息泄漏情況其實風險更高，企業在數據邊界建立一套安全防護體系十分重要。

　　員工終端出口防控：部分大廠都有一套數據沙盒運行或者加密機制，用來阻止數據由使用的客戶端流出，并且一般在DLP的整體解決方案中，還會使用圖像處理技術還會將員工屏幕圖像的頻域中加入特定指紋，以追蹤員工泄漏截屏信息。記得在2017年阿里腳本秒殺月餅的事件中，就有人因泄漏截圖信息而被處理，這背后其實就是頻域指紋的技術。再有就是對內網中包括U盤、移動硬盤、紅外、WIFI、藍牙等輸出端口實施監控，對拷貝到移動存儲設備的文檔進行強制加密。

　　互聯網出口防控：而針對互聯網出口DLP技術幾乎和AI圖像處理與NLP技術同步發展，一般都會使用最新的分類模型，監控異常流量，防止數據外泄，這里還是再次強調一下系統上云的重要性。

　　數據爬取方之道：避免面向監獄編程

　　根據最新的流量分析，互聯網40%左右的流量都是機器人也就是爬蟲發起的，站在數據爬取方的角度，必須關注爬蟲技術的法律邊界，“技術無罪”的號往往不能保護廣大程序員。

　　而有關爬蟲的法律問題，筆者特意咨詢了法務同事，根據我國的《刑法》、《網絡安全法》的規定，爬蟲可能涉及到的犯罪行為有如下情況：

　　1.首先侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，不論情節嚴重與否，構成非法侵入計算機信息系統罪。

　　2.違反國家有關規定，向他人出售或者提供公民個人信息，構成“侵犯公民個人信息罪”。也就是說通過出售個人信息獲利或者侵入含有國家機密的系統均會構成犯罪，但這兩種情況均不會是無心之過，但是以下規定需要格外注意。

　　3.違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，構成犯罪。也就是如果使用爬蟲的抓取力度過大，造成被攫取的網站無法正常運行的情況，并造成嚴重后果的也會構成犯罪。我們前文所述巧達科技的程序員也是因為爬蟲流量太大，造成目標網絡接近癱瘓，而涉嫌觸犯此條被捕。

　　也就是說避免面向監獄編程的三原則是

　　1. 不要觸碰國家事務、國防建設的系統

　　2. 不要觸碰個人信息，更不能販賣個人信息

　　3. 合理設置爬取流量，避免DDOS攻擊式的爬蟲

　　另外為避免其它民事糾紛，要盡量遵守Robots 協議。Robots 協議是一種存放于網站根目錄下的 ASCII 編碼的文本文件，它通常告訴網絡搜索引擎的漫游器也就是爬蟲，此網站中的哪些內容是不應被爬蟲獲取的，哪些是可以被爬蟲獲取的。嚴格按照 Robots 協議 爬取網站相關信息一般不會出現太大問題。

　　因為司法實踐中一般也會考慮行業的通行規范，因此一般遵守Robots 協議得到的信息不會被認為是商業機密或者個人隱私數據。或者說遵守協議所得的信息即使涉密其泄密責任一般也不會由爬取方承擔。

　　實際遭遇信息泄漏時應該做什么

　　在所有的信息泄漏中最麻煩的就是密碼或者身份證信息泄漏，對此筆者有如下建議：

　　1. 檢查自己的征信記錄：如果征信記錄中有異常，尤其是遭遇不明原因的貸款時，那么大概率是遇到嚴重的信息泄漏情況了。此時如果聯系不上貸款平臺，可以盡早報案，以保護自己的合法權益。

　　2. 解除三方平臺的綁定關系：一般來說銀行對于客戶銀行卡的保護力度還是比三方支付公司要大的，所以如遇信息泄漏，可以先解除與三方支付平臺的綁定關系及關閉定時自動扣款服務，必要時再更換銀行卡。