隐私一清二楚!微博泄漏事件卧底調察陈诉
提示:
- 本文中的全部查询到的敏感结果已经打码,葆护当事人隐私
- 本人作者已将全部查询到的信息删除清空
- 本文写作较为马虎,如有禁绝确盼望明白,盼望对大家的个人葆护警惕起到抛砖引玉的作用!
3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“许多人的手机号码泄漏了,根据微博账号就能查得手机号……已经有人通过微博泄漏查到我的手机号码,来加我微信了。”
随后,该网友在微博下的留言中进一步表现,他通过技能查询,发现不少人的手机号已被泄漏,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄漏了,我昨晚查过。”(“来总”代指微博CEO 王高飞)
本文作者在19日下午亲身体验了一把泄漏数据的灰产产品,已验证密码、个人敏感信息确实被袒露!虽然不确定是否是从微博袒露的,但是通过微博这一公开平台,可以微博ID查脱手机号。从而通过手机号关联到更多密码、个人身份信息。
我们总结了一些内容,盼望能让大家对个人隐私葆护及密码管理产生警惕,也盼望大家能按图索骥,查出背后团体的真凶。
概述
本次数据泄漏听说是由微博而来,在小道消息的引导下,我们找到了购置隐私数据此中一个根据地:电报(Telegram),通过电报按图索骥、购置服务,摸清了灰产的整个服务架构。
生意业务流程概述
- 参加电报
- 找到售卖机器人
- 机器人分享报价和生意业务方法
- 选择生意业务
- 机器人给出比特币/ETH数字钱币地点
- 打款后,机器人为电报账号充值积分
- 使用积分查询
该系统是“积分机制”,即你通过数字钱币为该灰产充值,则电报账号在灰产的账户中会多一些积分。使用积分可以查询种种服务:
作者亲测, 0.358 ETH = 260积分,10积分可以做一次普通查询,则相当于 0.0138 ETH一次,约即是10元一次
服务流程概述
-
选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括:绑定QQ、绑定手机、微博主页地点
- 输入绑定QQ,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、QQ关联账号、QQ密码
- 输入绑定手机,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机
选择批量查询→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、密码 等信息
直接查询真实姓名:机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地点
直接查询身份证号:机器人输身世份证号和真实姓名
总结
这次的灰产产品有如下几个特性:
1、
可信性极强
:整个流程中,历史上被撞库的密码,通过身份证、真实姓名、邮箱、手机号、QQ号被关联,因此正确程度比以往的库都要强盛一些
2、
工具链齐备,大家可被查
:本次引爆点是通过微博公开的OID查询到个人手机号和身份证,因此任何人都可以再通过手机号查询到他人密码,从而完成对任何人的资产打击!下文将介绍实例。
3、
主动化强
:在流程中,灰产作者很好的使用了以下三个工具完成了身份匿名——
- Telegram,匿名通讯
- Telegram的自制机器人,完成主动生意业务
- BTC/ETH等数字钱币,且为每个用户单独天生地点,便于洗钱和反侦探
详述
生意业务详述
先在Telegram找到社工群
与电报机器人聊天
获取通过数字钱币给机器人充值的地点: etherscan.io/address/0xc…
充值成功
生意业务流程
贴吧/QQ/微博/LOL查绑(每次30-80分)
输入手机/贴吧ID/微博ID/QQ/LOL 相互查询对应绑定信息。
此灰产工具宣称自己是“全网独家数据”,表面的查绑基本都是在机器人查询的。请留意该查询非及时绑定信息。
支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。
微博ID就是微博用户主页背面的数字,有些用户是本性域名,可以进入主页右键察看源码,如下图oid即为微博ID。
好比:查名流微博
1、我们先去李X乐老师那边,右键打开“源码”模式,获取到李老师的OID:
2、根据李老师的OID,去查询详细信息
3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:
可以看到,通过手机号查询,我已经袒露了自己的多个密码、真实姓名!
猎魔查询
猎魔查询即列表含糊查询,是来自公安网的一种业务,如今在机器人也可以查询了。
该功能旨在寻找知道姓名,性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据(以社会知名流士测试综合掷中率已高达70%以上),
猎魔查询分为三种查询模式:含糊查询,精准查询,占位符查询
含糊查询
查询方法为输入真实姓名,根据提示点击按钮进行查询。输出结果后,可以选择性别/省份,这两个选项为必须项,不选择无法查询,也不会扣分。假如该省内重名少于50结果,将直接表现全部结果并扣费,假如掷中人数过多,你需要继续选择年纪,月份。
精准查询
查询方法为输入真实姓名以及身份证内任意一连的数字,机器人出现猎魔查询按钮。点击按钮进行查询(查到结果扣分,未查到前不扣)
通过精准查询,灰产可以根据你的其他信息(出入地等),锁定个人身份,从而查出你的更多信息。
信息查询(每次1-10分)
大部分信息在这都可以查到,结果包含【密码查询】、【同密码】以及【贴吧绑定】,可以查询快递,开房,户籍,地点,身份证,手机,邮箱,账户,密码等等
- 身份证主动提示归属地,年纪等信息
- 手机号主动提示归属地&机主姓名
- 地点主动匹配高精度定位结果
- Hash主动破解成功率更高
- 去掉只有一条结果的信息
通过一连的Join(关联),还可以查出来:
- QQ/手机查名
- 输入手机/QQ号码查询号主姓名
- 群关系
隐私葆护功能
这是最为搞笑的:一个售卖百姓隐私数据的产品,居然还主打“隐私功能”!!
你费钱使用了屏蔽功能后,本功能会匿名存储该重要字, 非删除数据。屏蔽功能仅支持在本机器人中隐蔽私家账户,屏蔽后任何人都无法查询。屏蔽后仍会模仿正常查询流程,其他人无法察觉已被屏蔽,正因如此,由于群关系到处可查,故群关系数据不在屏蔽列表中。
总结
- 我们相信现在全部互联网服务,基于现在中心化的架构,出现数据泄漏问题是一定的,是个概率性事件。
- 充耳不闻并不管用,你的账号还在,不说明你的安全做的好,只能说对黑客还没有价值——由于许多已经袒露的信息永久袒露了,且可以通过关联技能指数级加强确定性!
- 空话少说,大家都去改密码吧
telegram如何买信息
Telegram,常叫电报,是很闻名的即时通讯软件,以
安全(重点)
、免费、无广告深受全全球网友的热爱,基本上国内网友科学上网后必备的聊天软件,近来比较出名的是韩国N号房事件的承载主体。
GV 号全称叫 Google Voice,提供的是网络电话服务,一个 GV 号就相当于一个美国国内的电话号码,可以使用它打电话、担当短信,注册系列软件(Facebook、twitter)等等,极大保证了自身隐私安全性。这里我们重要用来注册Telegram号(TG号),最好不要用自己的手机号,一是注意隐私就贯彻到底,二是telegram官方已将+86手机号用户拉入黑名单。GV号对常年在墙外游荡的人还是有点重要的,又不麻烦,弄一个吧。
下面开始正文~(请提前预备好科学上网的工具哦~)
一,得到GV号
这里还是建议某宝直接购置,10块钱左右,自己注册限定特殊多轻易半途而废。淘宝搜索Google voice,购置后主动发货会得到如下格式的账号。
如图上所说,
购置后请立刻修改密码和帮助邮箱(自己的邮箱)
。
即登入 https://myaccount.google.com 在谷歌账户管理中修改
改完之后就可以登入使用这个谷歌号登入Google voice了。 https://voice.google.com
如图所示界面,之后你收到任何验证信息要么电话你都可以在这里看到。
手机使用的话要装一个Google Hangouts(环聊app,需科学上网使用)。一样平常用收收验证码在网页上察看就行了。
这里假如你需要转移你的GV号的话请肯定在
美国IP
下进行。我没转移,以是不多讨论了,不转移影响不大。
二、登入TG。
去tg官网
https://telegram.org/
telegram.org
下载你需要的操作系统的软件。安卓端科学上网后,输入你的GV号,在验证你的验证码(即方才登入的google voice查!看收到的码)就可以直接享受telegram无拘束畅聊了~
电脑端的话还要设置Telegram走SS/SSR/V2ray/trojan代理。
设置Telegram走SS/SSR/V2ray/trojan代理 – 网络跳越hijk.pp.ua
这里是一个大佬写的操作流程,需要电脑使用的请查收~
登入后记得使用两步验证
设置两步验证后你只需在每次通过新装备登陆账号时输入你的自定密码。在移动端,可以通过底部导航「设置」-「隐私及安全」-「两步验证」进行设置。在桌面端,则可以通过「设置」-「开启两步验证」/「变动两步验证密码」来管理两步验证设置。
实在我打仗这个也不久,有什么问题大家相互讨论。我的tg号kanemu mii。欢迎大家找我玩,一起交流学习~
一点小提示:自由之下,请保持一颗作为精良百姓的心。(*^_^*)
通过“暗网”论坛、telegram等交际平台非法获取、交易百姓个人信息40万余条,教唆他人群发包含打赌等违法内容的短信至3万多名手机用户。克日,上海市青浦区检查院依法以涉嫌侵占百姓个人信息罪!、非法使用信息网络罪对被告人熊某提起公诉。
网络图
2019年10月,上海某物流公司发现有人在telegram上兜销公司快递数据,公司员工试着向对方购置了36条数据,对比发现数据真实有用,客户姓名、电话、联系地点和快递单号确出自公司。
11月,警方根据公司提供的线索,抓获了犯法怀疑人熊某,就地扣押存有大量百姓个人信息数据的手机、条记本电脑等装备。
2018年9月,犯法怀疑人游某(另案处置)通过QQ群熟悉了熊某,并在他部下打工。熊某安排游某成为QQ群管理员,教唆他用“漂流瓶”功能推送色情直播平台广告。后由于“漂流瓶”功能被官方禁用,两人便不再联系。
一年后,游某为给同窗介绍工作,再次联系熊某,得知熊某转行做起了“暗网买卖”。熊某教会游某怎样上暗网后,便安排他在暗网论坛上公布交易数据的广告:“出售棋牌、彩票、股票、信用卡、网贷、区块链、业主、车主、母婴、网购数据。”除了暗网论坛,游某也会在telegram上公布广告。熊某答应,如有人通过游某公布的广告完成生意业务,游某可得到20%的提成。
为了隐蔽身份,熊某让游某用身份证办理银行卡,并完成支付宝账户实名认证。后由游某实际操作该账户,根据熊某指示支付交易数据所需钱款。
2019年10月,熊某让游某帮助整理买来的200多万条数据。这些数据分为棋牌类、网贷类、网购类等差别种类,内容涵盖姓名、手机号、验证码、乞贷金额、地点!、快递单号、商品名称以及购物平台名称等信息。游某通过一款名叫“号码魔方”的软件,对熊某提供的手机号先辈行空号检测,确保可以吸收短信,再根据手机号的地域、运营商进行分类。据称,游某从这200多万条数据中整理出了20多万条有用数据,发送给了熊某,熊某再出售给他人。
网络图
熊某提供应游某的这些数据,一部分是直接从他人处购置的,另一部分则是租用后台拉取的。据称,网络上有人通过提供后台服务器地点、账号和密码,出租棋牌、博彩、网购等平台的后台权限,使租用者可以或许通过网页要么长途桌面连接的方法登录后台,拉取后台数据记载。
除了交易个人信息牟取非法长处,熊某还使用这些买来的信息推广打赌网站。2019年10月16日,熊某找到王某,提供了一批买来的手机号码以及编辑好的短信内容,让帮助群发。短信内容为繁体字广告以及打赌网站的网址链接,如“陆赠金必秒提、澳门威尼斯人邀您一起参与注册葱就赠18-888沅http://xxxxxxxx。”经统计,熊某共向王某支付了13000余元的报酬。
经查,2019年7月至11月,被告人熊某通过网络非法获取、交易大量包含姓名、电话等信息的百姓个人信息数据共计40万余条;2019年10月至11月,被告人熊某教唆他人将包含打赌等违法内容的短信息成功发送给3万余名用户。
检查官指出,被告人熊某违背国度有关划定,非法获取、出售百姓个人信息,情节特殊严峻;伙同他人使用信息网络公布违法犯法信息,情节严峻,行为已分别冒犯《中华人民共和国刑法》第二百五十三条和第二百八十七条,应当以侵占百姓个人信息罪、非法使用信息网络罪追究其刑事责任。
检查官提示,Telegram是一个以保密性著称的即时通讯软件,既是不少注意个人隐私的用户的交际利器,也是非法分子进行犯法活动的“风水宝地”,而暗网因其与生俱来的隐匿特性,更是被非法分子广泛运用于网络犯法。在此提示大家,要规定上网,制止误入暗网,更不要主动使用暗网,制止掉进无底洞般的陷阱。司法机构也将严肃打击各种依托暗网的新型网络、经济、危害国度安全等犯法行为。
通讯员 俞如宇 新民晚报记者 潘高峰
本文网址:
http://www.1cm8858.com/d/2020721124824_1947_4247372587/home
Ten articles before and after
铁路电报所:永不消逝的电波人责任与爱-电报telegram技巧分享
电波未消失嘀答仍传情最后一个电报窗口-电报telegram技巧分享
号称最安全的telegram也中招寻找高度通讯方式?放弃投奔Signal!.最近有很多有关香港活跃人士使用进行及集体活动报导。强烈建议…-电报telegram技巧分享
让telegram支持shadowsocks的pac模式软件开启可以正常使用-电报telegram技巧分享
香港人为什么不再用启示:有隐私-电报telegram技巧分享
reycn/fanyitelegram自动翻译插件-电报telegram技巧分享
新电报码输入法下载64位win7/10官方版V1.22-电报telegram技巧分享