根据ZDNet看到的广告和中国媒体的报道，目前中国社交网络微博上超过5.38亿用户的个人信息可以在线出售。

在“暗网”等地发布的广告中，一名黑客声称在2019年年中入侵新浪微博，获得了该公司用户数据库的转储。

据说这个数据库包含了微博5.38亿用户的详细信息。个人信息包括1.72亿用户的真实姓名、网站用户名、性别、位置和电话号码。

密码不包括在内，这就解释了为什么黑客只卖1799元(250美元)的微博数据。

微博销售用户数据的广告

在这篇文章发表之前，微博发言人没有回应ZDNet的置评请求，但该公司就此事向中国媒体发表了声明。

然而，微博的回应令人困惑。

该公司在发给中国网站36kr和许多其他网站的声明中表示，这些电话号码是在2018年底获得的，当时该公司的工程师观察到一系列用户账户上传了大量联系信息，并试图将这些账户与各自的电话号码进行匹配。在新浪微博发布的另一份声明中，该公司表示，密码不会以明文形式存储，用户无需担心。

然而，几位中国安全专家很快指出了该公司回应中的技术违规之处。首先，黑客的广告中有一个指标，数据来自SQL数据库的转储，与公司解释的数据是通过API匹配联系人获得的说法不一致。

其次，公司的声明没有说明黑客是如何获得其他细节的，比如性别和位置，非公开信息，匹配联系人时也没有被API返回。

中国社交媒体上关于这些数据的来源以及攻击者如何获得这些数据的猜测非常猖獗。当安全研究人员意识到攻击者不是在出售密码时，密码喷雾或凭据填充攻击的理论很快被驳斥。

一些广告中名为“@微博”的黑客也提供了数据样本，微博中的用户证实了数据的准确性。

新浪微博称，已向相关部门通报此事，警方正在调查。

由于其对互联网近乎极权的控制，中国警方可以相对容易地追踪大多数本地黑客。2018年夏天，另一名黑客在华住酒店集团旗下酒店出售了数百万客人的详细信息。三周后，中国警方逮捕了这名黑客，尽管数据是在“暗网”上出售的。