根据ZDNet看到的广告和中国媒体的报道，中国社交网络微博上超过5.38亿用户的个人信息目前可以在网上出售。

在“暗网”和其他地方发布的广告中，一名黑客声称在2019年年中侵入了新浪微博，并获得了该公司用户数据库的转储。

据称，该数据库包含5.38亿微博用户的详细信息。个人信息包括真实姓名、网站用户名、性别、位置，以及1.72亿用户的电话号码。

密码不包括在内，这就解释了为什么黑客只以1799元(250美元)的价格出售微博数据。

出售微博用户数据的广告

在这篇文章发表之前，一位微博发言人没有回复ZDNet的置评请求，但该公司就此事向中国媒体发表了声明。

然而，微博的回应令人困惑。

该公司在发给中国网站36kr和其他许多网站的一份声明中称，这些电话号码是在2018年底获得的，当时该公司的工程师观察到一系列用户账号上传了大量联系人信息，试图将账号与他们各自的电话号码进行匹配。在新浪微博上发布的另一份声明中，该公司表示不会以明文形式存储密码，用户无需担心。

不过，几位中国安全专家很快指出了该公司回应中的技术违规之处。首先，黑客的广告中包含数据来自SQL数据库转储的指示符，这与该公司的解释不相符，该公司解释称，数据是通过将联系人与API匹配获得的。

其次，该公司的声明也没有解释黑客是如何获取其他细节的，比如性别和位置，非公开的信息，也没有在匹配联系人时由API返回。

中国社交媒体上关于这些数据的来源以及攻击者是如何得到这些数据的猜测甚嚣尘上。当安全研究人员意识到攻击者并不是在出售密码时，密码喷雾或凭证填充物攻击的理论很快就被驳倒了。

在一些广告中被称为“@微博”的黑客还提供了数据样本，微博用户证实了数据的准确性。

新浪微博说，已就此事通知有关部门，警方正在调查。

由于其对互联网近乎极权的控制，中国警方能够相对轻松地追踪到大多数本地黑客。2018年夏天，另一名黑客出售了华珠酒店集团(Huazhu Hotels Group)旗下酒店的数百万名住客的详细信息。三周后，中国警方逮捕了这名黑客，尽管这些数据是在“暗网”上出售的。