19日，南都曾发文《微博5亿用户绑定手机号在暗网出售 或因通讯录接口遭暴力匹配》，微博对此作出了回应。据《AI财经社》微博回应数据泄露：为2018年底大规模泄露，数据不涉及身份证密码，微博称此次数据泄露发生于2018年底，但不涉及身份证和密码，不影响服务。

不外，有平安圈人士实测发现，在跨平台即时通讯软件Telegram上，可以通过微博Oid（工具标识符）查到账号密码、邮箱，进而获得真实姓名、身份证号等个人信息。由于Oid公然可得，理论上任何人都可以举行查询。

整个事宜源于暗网的一则买卖信息。

3月4日，有暗网用户公布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的买卖信息，售价1388美元。其中绑定手机数据包罗用户ID和手机号，账号基本信息包罗昵称、头像、粉丝数、所在地等。

经多人验证，给出的测试数据部门真实，2018年10月尾和2019年7月份注册的账号也都可查，并非如微博CEO王高飞（@往复之间）所说“是2014年以前网易那次撞库的”。

微博平安总监罗诗尧则注释称，此次泄露的手机号是“2019年通过通讯录上传接口被暴力匹配的，其余公然信息都是网上抓来的”，并示意微博内部发现异常后“马上堵住了口子”，第一时间报了警（相关微博已被删除）。

今后，微博对《AI财经社》示意，此次数据泄露应该追溯到2018年底。那时，有用户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。

微博还强调，微博一直有提供凭据通讯录手机号查询微博密友昵称的服务，但不提供用户性别和身份证号等信息，也没有“凭据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码，对微博服务没有影响。未来微博将不停强化平安珍爱计谋。

然而，有平安圈人士发文称，在Telegram找到了售卖微博数据的一个自动买卖机器人，并乐成买到了同事的姓名、手机号、QQ号、微博账号密码、邮箱等，再利用平台提供的其他服务，位置信息、户籍、地址、身份证号也都可查。

“看来不止手机号和账号泄露，但和暗网出售的数据是不是统一批就不清晰了”，一位资深平安人士告诉南都记者，Telegram是许多地下买卖的场所，除了微博数据，可能另有其他平台的数据，充值后即可向机器人查询 。

采写：南都记者蒋琳

综合AI财经社