(原标题:隐私一目了然!微博走漏事情卧底调查报告)
本文转自:Phala可信网络(phala_network)
作者:Marvin
本文中的一切查询到的灵敏成果现已打码,维护当事人隐私 自己作者已将一切查询到的信息删去清空 本文写作较为草率,如有不精确期望了解,期望对咱们的个人维护警觉起到抛砖引玉的效果!
3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“许多人的手机号码走漏了,依据微博账号就能查到手机号……现已有人经过微博走漏查到我的手机号码,来加我微信了。”
随后,该网友在微博下的留言中进一步表明,他经过技能查询,发现不少人的手机号已被走漏,傍边触及不少微博认证的明星、官员、企业家。“来总的手机号也被走漏了,我昨夜查过。”(“来总”代指微博CEO王高飞)
本文作者在19日下午亲身体会了一把走漏数据的灰产产品,已验证暗码、个人灵敏信息的确被露出!尽管不确定是否是从微博露出的,可是经过微博这一揭露渠道,可以微博ID查出手机号。然后经过手机号相关到更多暗码、个人身份信息。
咱们总结了一些内容,期望能让咱们对个人隐私维护及暗码办理发生警觉,也期望咱们咱们能按图索骥,查出背面集体的真凶。
概述
本次数据走漏据说是由微博而来,在小道消息的引导下,咱们找到了购买隐私数据其间一个依据地:电报(Telegram),经过电报按图索骥、购买服务,摸清了灰产的整个服务架构。
买卖流程概述
参加电报 找到售卖机器人 机器人共享报价和买卖方法 挑选买卖 机器人给出比特币/ETH数字钱银地址 打款后,机器人为电报账号充值积分 运用积分查询
该体系是“积分机制”,即你经过数字钱银为该灰产充值,则电报账号在灰产的账户中会多一些积分。运用积分可以查询各种服务:
作者亲测, 0.358 ETH = 260积分,10积分可以做一次一般查询,则相当于0.0138 ETH一次,约等于10元一次
服务流程概述
挑选批量查询→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、暗码等信息
挑选依据微博账号查询→给机器人输入微博主页的Oid→机器人输出成果。包括:绑定QQ、绑定手机、微博主页地址
输入绑定QQ,机器人输出实在名字、老密信息(暗码)、名字、手机、邮箱、QQ相关账号、QQ暗码 输入绑定手机,机器人输出实在名字、老密信息(暗码)、名字、手机、邮箱、微博账号、微博绑定手机 直接查询实在名字:机器人输出老密信息(暗码)、身份证名字、性别、其他信息、地址
直接查询身份证号:机器人输出身份证号和实在名字
这次的灰产产品有如下几个特征:
1、可信性极强:整个流程中,历史上被撞库的暗码,经过身份证、实在名字、邮箱、手机号、QQ号被相关,因而精确程度比以往的库都要强壮一些
2、东西链完全,人人可被查:本次引爆点是经过微博揭露的OID查询到个人手机号和身份证,因而任何人都可以再经过手机号查询到别人暗码,然后完结对任何人的财物进犯!下文将介绍实例。
3、主动化强:在流程中,灰产作者很好的运用了以下三个东西完结了身份匿名——
Telegram,匿名通讯 Telegram的克己机器人,完结主动买卖 BTC/ETH等数字钱银,且为每个用户独自生成地址,便于洗钱和反侦查
胪陈
买卖胪陈
先在Telegram找到社工群
与电报机器人谈天
获取经过数字钱银给机器人充值的地址:期望对法律剖析起到必定的协助https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76
充值成功
买卖流程贴吧/QQ/微博/LOL查绑(每次30-80分)
输入手机/贴吧ID/微博ID/QQ/LOL相互查询对应绑定信息。
此灰产东西声称自己是“全网独家数据”,外面的查绑根本都是在机器人查询的。请注意该查询非实时绑定信息。
支撑QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、名字等。
微博ID便是微博用户主页后边的数字,有些用户是特性域名,可以进入主页右键检查源码,如下图oid即为微博ID。
比方:查名人微博
1、咱们先去李X乐教师微博,翻开他的主页,经过chrome右键翻开“源码”形式,获取到李教师的OID:
2、依据李教师的OID,去查询详细信息
李教师的手机号、QQ号现已被查到了
3、拿到了手机号,就可以终究靠【精准查询】查询暗码了。此处作者运用自己的手机号查询:
可以正常的看到,经过手机号查询得知,我现已露出了自己的多个暗码、实在名字!
猎魔查询
猎魔查询即列表含糊查询,据该灰产声称是“来自公安网的一种事务”,现在在机器人也可以查询了。
该功用旨在寻觅知道名字,性别及大约方位的人的身份证号码。灰产声称自己机器人已掩盖全国50%以上优质人口数据(以社会知名人士测试综合射中率已高达70%以上),
猎魔查询分为三种查询形式:含糊查询,精准查询,占位符查询
含糊查询
查询方法为输入实在名字,依据提示点击按钮进行查询。输出成果后,可以再一次进行挑选性别/省份,这两个选项为有必要项,不挑选无法查询,也不会扣分。假如该省内重名少于50成果,将直接显现悉数成果并扣费,假如射中人数过多,你需求持续挑选年纪,月份。
精准查询
查询方法为输入实在名字以及身份证内恣意接连的数字,机器人呈现猎魔查询按钮。点击按钮进行查询(查到成果扣分,未查到前不扣)
经过精准查询,灰产可以精确的经过你的其他信息(收支地等),确定个人身份,然后查出你的更多信息。
信息查询(每次1-10分)
大部分信息在这都可以查到,成果包括【暗码查询】、【同暗码】以及【贴吧绑定】,可以查询快递,开房,户籍,地址,身份证,手机,邮箱,账户,暗码等等
身份证主动提示归属地,年纪等信息 手机号主动提示归属地&机主名字 地址主动匹配高精度定位成果 Hash主动破解成功率更高 去掉只要一条成果的信息
经过接连的Join(相关),还可以查出来:
QQ/手机查名 输入手机/QQ号码查询号主名字 群联系
这是最为搞笑的:一个售卖公民隐私数据的产品,竟然还主打“隐私功用”!!
你花钱运用了屏蔽功用后,本功用会匿名存储该关键字, 非删去数据。屏蔽功用仅支撑在本机器人中躲藏私家账户,屏蔽下一任何人都无法查询。屏蔽后仍会模仿正常查询流程,其别人无法发觉已被屏蔽,正因如此,由于群联系到处可查,故群联系数据不在屏蔽列表中。
总结
咱们信任现在一切互联网服务,根据现在中心化的架构,呈现数据走漏问题是必定的,是个概率性事情。 不闻不问并不管用,你的账号还在,不阐明你的安全做的好,只能说对黑客还没有价值百科——由于许多现已露出的信息永久露出了,且可以终究靠相关技能指数级增强确定性! 废话少说,咱们都去改暗码吧!
延伸阅览
- 微博数据大规模走漏?回应:数据不触及身份证暗码
