卧底数据买卖：10块买到名人隐私5亿微博突遭泄漏我在暗网了自己的个人信息-电报telegram技巧分享

telegram卖数据

隐私一清二楚！微博泄漏事件卧底調察陈诉

提示：

本文中的全部查询到的敏感结果已经打码，葆护当事人隐私

本人作者已将全部查询到的信息删除清空

本文写作较为马虎，如有禁绝确盼望明白，盼望对大家的个人葆护警惕起到抛砖引玉的作用！

3月19日上午，有微博名为“安全_云舒”的用户转发微博时称：“许多人的手机号码泄漏了，根据微博账号就能查得手机号……已经有人通过微博泄漏查到我的手机号码，来加我微信了。”

随后，该网友在微博下的留言中进一步表现，他通过技能查询，发现不少人的手机号已被泄漏，当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄漏了，我昨晚查过。”（“来总”代指微博CEO 王高飞）

本文作者在19日下午亲身体验了一把泄漏数据的灰产产品，已验证密码、个人敏感信息确实被袒露！虽然不确定是否是从微博袒露的，但是通过微博这一公开平台，可以微博ID查脱手机号。从而通过手机号关联到更多密码、个人身份信息。

我们总结了一些内容，盼望能让大家对个人隐私葆护及密码管理产生警惕，也盼望大家能按图索骥，查出背后团体的真凶。

概述

本次数据泄漏听说是由微博而来，在小道消息的引导下，我们找到了购置隐私数据此中一个根据地：电报（Telegram），通过电报按图索骥、购置服务，摸清了灰产的整个服务架构。

生意业务流程概述

参加电报
找到售卖机器人
机器人分享报价和生意业务方法
选择生意业务
机器人给出比特币/ETH数字钱币地点
打款后，机器人为电报账号充值积分
使用积分查询

该系统是“积分机制”，即你通过数字钱币为该灰产充值，则电报账号在灰产的账户中会多一些积分。使用积分可以查询种种服务：

作者亲测， 0.358 ETH = 260积分，10积分可以做一次普通查询，则相当于 0.0138 ETH一次，约即是10元一次

服务流程概述

选择批量查询→机器人批量输出名单（每次100个左右）。包括：微博账号、邮箱、密码等信息

选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括：绑定QQ、绑定手机、微博主页地点
- 输入绑定QQ，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、QQ关联账号、QQ密码
- 输入绑定手机，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、微博账号、微博绑定手机

直接查询真实姓名：机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地点

直接查询身份证号：机器人输身世份证号和真实姓名

总结

这次的灰产产品有如下几个特性：

1、

可信性极强

：整个流程中，历史上被撞库的密码，通过身份证、真实姓名、邮箱、手机号、QQ号被关联，因此正确程度比以往的库都要强盛一些

2、

工具链齐备，大家可被查

：本次引爆点是通过微博公开的OID查询到个人手机号和身份证，因此任何人都可以再通过手机号查询到他人密码，从而完成对任何人的资产打击！下文将介绍实例。

3、

主动化强

：在流程中，灰产作者很好的使用了以下三个工具完成了身份匿名——

Telegram，匿名通讯
Telegram的自制机器人，完成主动生意业务
BTC/ETH等数字钱币，且为每个用户单独天生地点，便于洗钱和反侦探

详述

生意业务详述

先在Telegram找到社工群

与电报机器人聊天

获取通过数字钱币给机器人充值的地点： etherscan.io/address/0xc…

充值成功

生意业务流程

贴吧/QQ/微博/LOL查绑（每次30-80分）

输入手机/贴吧ID/微博ID/QQ/LOL 相互查询对应绑定信息。

此灰产工具宣称自己是“全网独家数据”，表面的查绑基本都是在机器人查询的。请留意该查询非及时绑定信息。

支持QQ查手机/手机查QQ，微博uid查手机/手机反查微博，贴吧账号查手机/手机查贴吧账号，LOL昵称查对应QQ、手机、姓名等。

微博ID就是微博用户主页背面的数字，有些用户是本性域名，可以进入主页右键察看源码，如下图oid即为微博ID。

好比：查名流微博

1、我们先去李X乐老师那边，右键打开“源码”模式，获取到李老师的OID：

2、根据李老师的OID，去查询详细信息

3、拿到了手机号，就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询：

可以看到，通过手机号查询，我已经袒露了自己的多个密码、真实姓名！

猎魔查询

猎魔查询即列表含糊查询，是来自公安网的一种业务，如今在机器人也可以查询了。

该功能旨在寻找知道姓名，性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据（以社会知名流士测试综合掷中率已高达70%以上），

猎魔查询分为三种查询模式：含糊查询，精准查询，占位符查询

含糊查询

查询方法为输入真实姓名，根据提示点击按钮进行查询。输出结果后，可以选择性别/省份，这两个选项为必须项，不选择无法查询，也不会扣分。假如该省内重名少于50结果，将直接表现全部结果并扣费，假如掷中人数过多，你需要继续选择年纪，月份。

精准查询

查询方法为输入真实姓名以及身份证内任意一连的数字，机器人出现猎魔查询按钮。点击按钮进行查询（查到结果扣分，未查到前不扣）

通过精准查询，灰产可以根据你的其他信息（出入地等），锁定个人身份，从而查出你的更多信息。

信息查询（每次1-10分）

大部分信息在这都可以查到，结果包含【密码查询】、【同密码】以及【贴吧绑定】，可以查询快递，开房，户籍，地点，身份证，手机，邮箱，账户，密码等等

身份证主动提示归属地，年纪等信息
手机号主动提示归属地&机主姓名
地点主动匹配高精度定位结果
Hash主动破解成功率更高
去掉只有一条结果的信息

通过一连的Join（关联），还可以查出来：

QQ/手机查名
输入手机/QQ号码查询号主姓名
群关系

隐私葆护功能

这是最为搞笑的：一个售卖百姓隐私数据的产品，居然还主打“隐私功能”！！

你费钱使用了屏蔽功能后，本功能会匿名存储该重要字, 非删除数据。屏蔽功能仅支持在本机器人中隐蔽私家账户，屏蔽后任何人都无法查询。屏蔽后仍会模仿正常查询流程，其他人无法察觉已被屏蔽，正因如此，由于群关系到处可查，故群关系数据不在屏蔽列表中。

总结

我们相信现在全部互联网服务，基于现在中心化的架构，出现数据泄漏问题是一定的，是个概率性事件。
充耳不闻并不管用，你的账号还在，不说明你的安全做的好，只能说对黑客还没有价值——由于许多已经袒露的信息永久袒露了，且可以通过关联技能指数级加强确定性！
空话少说，大家都去改密码吧

“微博个人信息已可在暗网交易。我都买到我自己的信息了。”3月19日晚间，一位区块链范畴资深人士向钛媒体（微信ID：taimeiti）表现：“在Telegram上，已有大量被泄漏个人信息可以用btc和eth生意业务，现在暗网已经疯了，大家都在猖獗查询，这事已在国际暗网上产生巨大影响。”

这还要源于3月19日上午默安科技CTO魏兴国公布的一条微博（现在已删除）。魏兴国称，通过技能查询发现不少人手机号已经泄漏。

很快，微博针对微博数据泄漏一事回答允认属实，现在已实时强化安全策略，并表现这起数据泄漏不涉及身份证、密码，对微博服务没有影响。但是微博还称，“此次数据泄漏应该追溯到2018年底，其时，有效户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。其不停有提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有“根据用户昵称查手机号”的服务。因此这起数据泄漏不涉及身份证、密码，对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称，不涉及别的隐私数据。”

但是根据上述用户向钛媒体（微信ID：taimeiti）提供的信息表现，其个人绑定微博的信息包括姓名、邮箱、地点、手机号、微!博账号、密码等8项信息均已经能在暗网买到。某暗网以“赞助情势”收取费用。不外，每个人被走漏的数据种类和数目也有所差别。别的有效户向钛媒体App透露，其在暗网上买到的“自己”的微博绑定信息，还包括老密码、身份证号、车牌号、贴吧绑定的账号、绑定的qq号等。

该人士随后增补道，用户还可以费钱把自己的信息屏蔽，不让别人查询。“我小伙伴的信息我也全都查到了，密码都有，另有几个他常常上网的地点，信息走漏真的太可怕了。”

在魏兴国那条被删除的微博评述中，亦曾有网友表现，发现5.38亿条微博用户信息在暗网出售，此中，1.72亿条有账户基本信息，售价0.177比特币。涉及到的账号信息包括用户ID、账号公布的微博数、粉丝数、关注数、性别、地理位置等。

微博数据突遭泄漏

3月19日上午，微博名为“安全_云舒”的用户转发微博时称：“许多人的手机号码泄漏了，根据微博账号就能查得手机号……已经有人通过微博泄漏查到我的手机号码，来加我微信了。”

该微博信息表现，此人为默安科技首创人兼CTO，原阿里团体安全研究试验室总监。默安科技方面证明称，“安全_云舒”确为默安科技CTO魏兴国，“云舒”是其在阿里巴巴的别名。

随后，魏兴国在微博下的留言中进一步表现，他通过技能查询，发现不少人的手机号已被泄漏，当中涉及不少微博认证的明星、官员、企业家。“来总（钛媒体注：来总为微博CEO王高飞，微博名为“往复之间”）的手机号也被泄漏了，我昨晚查过。”也有网友不停留言称自己疑似遭遇了数据泄漏，且泄漏信息多为手机号，甚至有人发出了疑似微博个人数据的打包售卖截图，标价为1799元。

5亿微博隐私数据被爆遭泄漏始末，国际暗网正在火爆交易

缘故或为数据撞库或漏水