今天早些时候有网友爆料,陌陌的 3000 万数据在暗网上以 50 美元的价格出售。根据一名卖家在 11 月 30 日公布的交易截图,这些数据包括用户手机号、密码,数据写入时间为 2015 年 7 月 17 日。
微博用户@浅黑科技利用截图中的账号和密码进行了测试,发现仅有个别账号存在,但对应的密码是错误的。浅黑科技称一种情况是数据库是真实的,但陌陌通过安全监控提前进行了处理,把相应账号删除或者增加了一道验证门槛;另一种是这个库是假的,有人在暗网上骗钱。
对此,陌陌方面回应称,这个所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低。此外陌陌采用高强度单向散列算法加密存储用户密码,因此任何人无法直接从陌陌数据库中直接获取用户明文密码。陌陌还表示,“任何人在其他设备上仅用手机号和密码试图登录陌陌账号,都会触发短信验证码等多种信息验证措施,他人根本无法仅凭手机号和密码就登录用户陌陌账号”。
以下为陌陌回应:
关于用户数据安全一事的回应
今天,网传一份自称是三年多前撞库得来的包含手机号和明文密码的陌陌用户数据,数据写入时间为 2015 年 7 月 17 日。本着对用户数据和隐私安全负责的态度,现就此事说明如下:
1. 这个所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低。多家媒体测试验证的情况显示,返回的也都是错误信息。
2. 陌陌采用高强度单向散列算法(用户密码被单向加密成密文,但不能通过密文还原为明文)加密存储用户密码,因此任何人无法直接从陌陌数据库中直接获取用户明文密码。
3. 请陌陌用户放心,陌陌采用包括密码验证、设备验证等多重校验机制,以保护用户信息安全,任何人在其他设备上仅用手机号和密码试图登录陌陌账号,都会触发短信验证码等多种信息验证措施,他人根本无法仅凭手机号和密码就登录用户陌陌账号。
陌陌科技
2018 年 12 月 3 日
