近来几天,微博被爆超 5 亿用户信息在暗网上被出售的消息闹的沸沸扬扬,毕竟怎么回事呢?
“据南边日报报道,克日,多个安全监测平台监控到,有暗网用户于 3 月 4 日公布了一则名为“5.38 亿微博用户绑定手机号数据,此中 1.72 亿有账号基本信息”的生意业务信息,售价 1388 美元。”
而相关消息已经在微博上收不到了。谁让这是微博家丑呢?搜不到太正常了。
有不少网友说自己大概中招了,虽然微博官方有人出来辟谣,说这些信息是被人暴力匹配的。这个欲盖弥彰的说法,显然不能让网友们满足。
于是有人找到在电报群售卖信息的源头,能力打脸。
这些信息售卖是电报上一个叫“社工库”的,生意业务接纳的是与电报机器人聊天获取数据信息的方法。
输入手机/贴吧 ID /微博 ID / QQ / LOL 相互查询对应绑定信息就可以查到你想查的信息,只要有钱。
还可以提供密码、快递、开房、户籍、地点、!账户、个人征信陈诉等全方位的数据隐私查询服务。
有大量名流的信息也被泄漏。听说“社工库”的是用“
范冰冰
”的名字作为售卖教程。
10 积分可以做一次普通查询,约即是 10 元一次;50 积分( 50 元)可以查一个贴吧/ QQ 微博套餐服务;个人征信陈诉则卖到了 1200 元。
通过技能查询发现不少人手机号已经泄漏。网友也不停留言称自己疑似遭遇了数据泄漏,且泄漏信息多为手机号。
有不少网友说自己莫名奥妙关注了一些人,另有主动在给别人点赞。
看起来是不是有点不寒而栗呢?
支付方法接纳的是积分进行售卖,而积分怎样得到呢?就是用比特币要么以太坊。
关于隐私泄漏这个问题,已经不是一次两次发生了。之前facebook泄漏隐私的事情也是闹得沸沸扬扬。在现在中心化架构的互联网服务下,尽管各大互联网公司努力防范,数据泄漏事件层出不穷。
在原有的互联网架构上数据泄漏事件无法杜绝。
以是这也是为什么MYKEY这个去中心化身份系统,得到许多人推许的缘故。
mykey的用户让每个人的身份信息完全属于自己,用去中心化的方法进行存储,这样就大大降低了个人信息泄漏的风险。
这两天行情有所回暖,从比特币不停在6000多美元上下震荡,让受伤的币民似乎又重新找回了一些信心。
然而在这次暴涨暴跌過逞中,体现最好的不是比特币,也不是Bsv,是什么币种呢?
就是稳定币usdt。我们可以看到,usdt, 如今已经位列总市值排行榜第4位,仅次于比特币以太坊和XRP。
Usdt的市值如今已经超越了4.65亿美元。
数字资产暴跌,有大量的人需要购置usdt来参加保证金,另有许多人需要购置usdt line抄底。以是我们常常可以听到usdt增发的消息。
媒体统计,在此次行情动荡中,Tether增发的稳定币至少可以为Tether以及其部属的承兑商带来1.8亿美元的收入。
有人说既然是稳定币,是1:1对标美元的。这个公司到底是怎么赢利的?要知道它对标美元是给购置 Usdt人的价格,每一个购置usdt的人。
相当于用手中的法币去换Tether印刷的钞票USDT。
并且,USDT并不是100%的储备金。
“据Bitfinex和Tether的代表法律顾问STUART HOEGNER此前披露的信息表现,截止4月30日,Tether所持有的现金以及现金等价物(短期证券)共计约为21亿美元,约为当前74%的USDT。即Tether并没有100%的资产储备,纵然稠浊美元以及别的资产,USDT的储备金率仍旧在70%左右。”
要知道币圈绝大部分人都不会去把usdt来换回美元的,别的这还没有算,承兑usdt的手续费收入。
近来江卓尔在分享里表现:
“接下来几年,会有无数人由于USDT暴雷而败尽家业”
。
如今许多人持有、使用USDT,包括伊朗也开始用USDT做整理。对此,江卓尔说:
“美国不大概容忍一个自己控制以外的USDT,去帮伊朗整理这样的事情存在。
USDT不受监管、但又是中心化的、可以被管,以是肯定会被美国当局弄死。”
前两天我群内里一个兄弟也恰好问USDT这么多问题,为什么还是有这么多人用?我其时是这么答复的。
具有先发优势使得Tether在稳定币市场内把握了话语权,USDT又进一步依赖其先发优势快速的抢占了充足的稳定币市场份额。
人们的習慣是很难改变的,这需要一个過逞。
USDT在高峰时一度占据稳定币市场约95%的市场份额,其后虽受到超发质疑、币价闪崩、美元存取困难、!官网说明修改、私自调用预备金等多起负面事件影响,但是最低时,USDT仍旧保有70%的市场份额。
而USDT背后的主导公司Tether的公信力以及面对危急时的归还本领,还是没有受到过磨练,以是USDT的连续性增发一定会导致会合性风险也越来越大。
有人说USDT这么大市值,不会说倒就倒吧,但是币圈的黑天鹅可常常会发生,尤其是本年2020。
前段时间没有人想到Fcoin会倒闭吧,也有人想到3月12日比特币能跌到3800美元?
除了会合性风险之外,USDT的币值也开始随着增发范围扩大而渐渐不稳定。
以是,我们应该可以严厉的思量一个问题。
USDT假如暴雷了,你做好应对了吗?我是这样假想的:
1、不要用USDT存放自己的全部资产。
假如有小同伴是空仓的话,全部的币都是用usdt作为稳定币的话。那么确实应该防备一下大概存在的风险,可以实验着换一些其他属性的稳定币。
好比说,可以换一些makedao天生的这是去中心化稳定币DAI。另有其他机构或组织发行的稳定币,好比币安发行的Busd等等。把风险疏散,这肯定不是一件坏事,大概就会有一点麻烦罢了。
2、假如暴雷的话,谁受益最大?
第2个方面我们可以思量一下,假如这个危急真的发生的话,我们可否从中获益?我想假如这个危急发生的话,对于币圈来说是一个巨大的炸弹,那么,会发生什么呢?
我以为大部分人会第一时间把币换成比特币,由于稳定币的这个属性原来是属于比特币的,在稳定币出来以后才从比特币上渐渐剥离出去,假如USDT暴雷,那么人们在短时间内不会自然会把资金转入到最坚挺的、活动性最好的比特币上面。
以是设置一部分比特币。不但是为了保值的需要,也是为了防备稳定币暴雷的一种需求。
telegram微博机器人
1.本文中的全部查询到的敏感结果已经打码,葆护当事人隐私
2.本人作者已将全部查询到的信息删除清空
3.本文写作较为马虎,如有禁绝确盼望明白,盼望对大家的个人葆护警惕起到抛砖引玉的作用!
3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“许多人的手机号码泄漏了,根据微博账号就能查得手机号……已经有人通过微博泄漏查到我的手机号码,来加我微信了。”
随后,该网友在微博下的留言中进一步表现,他通过技能查询,发现不少人的手机号已被泄漏,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄漏了,我昨晚查过。”(“来总”代指微博CEO 王高飞)
本文作者在19日下午亲身体验了一把泄漏数据的灰产产品,已验证密码、个人敏感信息确实被袒露!虽然不确定是否是从微博袒露的,但是通过微博这一公开平台,可以微博ID查脱手机号。从而通过手机号关联到更多密码、个人身份信息。
我们总结了一些内容,盼望能让大家对个人隐私葆护及密码管理产生警惕,也盼望大家能按图索骥,查出背后团体的真凶。
本次数据泄漏听说是由微博而来,在小道消息的引导下,我们找到了购置隐私数据此中一个根据地:电报(Telegram),通过电报按图索骥、购置服务,摸清了灰产的整个服务架构。
生意业务流程概述
参加电报
找到售卖机器人
机器人分享报价和生意业务方法
选择生意业务
机器人给出比特币/ETH数字钱币地点
打款后,机器人为电报账号充值积分
使用积分查询
该系统是“积分机制”,即你通过数字钱币为该灰产充值,则电报账号在灰产的账户中会多一些积分。使用积分可以查询种种服务:
作者亲测, 0.358 ETH = 260积分,10积分可以做一次普通查询,则相当于 0.0138 ETH一次,约即是10元一次
服务流程概述
1.选择
批量查询
→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、密码 等信息
2.选择
根据微博账号查询
→给机器人输入微博主页的Oid→机器人输出结果。包括:绑定QQ、绑定手机、微博主页地点
输入绑定QQ,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、QQ关联账号、QQ密码
输入绑定手机,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机
3.直接
查询真实姓名
:机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地点
4.直接
查询身份证号
:机器人输身世份证号和真实姓名
总结
这次的灰产产品有如下几个特性:
1、
可信性极强
:整个流程中,历史上被撞库的密码,通过身份证、真实姓名、邮箱、手机号、QQ号被关联,因此正确程度比以往的库都要强盛一些
2、
工具链齐备,大家可被查
:本次引爆点是通过微博公开的OID查询到个人手机号和身份证,因此任何人都可以再通过手机号查询到他人密码,从而完成对任何人的资产打击!下文将介绍实例。
3、
主动化强
:在流程中,灰产作者很好的使用了以下三个工具完成了身份匿名——
Telegram,匿名通讯
Telegram的自制机器人,完成主动生意业务
BTC/ETH等数字钱币,且为每个用户单独天生地点,便于洗钱和反侦探
生意业务详述
先在Telegram找到社工群
与电报机器人聊天
获取通过数字钱币给机器人充值的地点:盼望对执法分析有所帮助 https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76
充值成功
生意业务流程
贴吧/QQ/微博/LOL查绑(每次30-80分)
输入手机/贴吧ID/微博ID/QQ/LOL 相互查询对应绑定信息。
此灰产工具宣称自己是“全网独家数据”,表面的查绑基本都是在机器人查询的。请留意该查询非及时绑定信息。
支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。
微博ID就是微博用户主页背面的数字,有些用户是本性域名,可以进入主页右键察看源码,如下图oid即为微博ID。
好比:查名流微博
1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:
2、根据李老师的OID,去查询详细信息
李老师的手机号、QQ号已经被查到了
3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:
可以看到,通过手机号查询得知,我已经袒露了自己的多个密码、真实姓名!
猎魔查询
猎魔查询即列表含糊查询,据该灰产宣称是“来自公安网的一种业务”,如今在机器人也可以查询了。
该功能旨在寻找知道姓名,性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据(以社会知名流士测试综合掷中率已高达70%以上),
猎魔查询分为三种查询模式:含糊查询,精准查询,占位符查询
含糊查询
查询方法为输入真实姓名,根据提示点击按钮进行查询。输出结果后,可以选择性别/省份,这两个选项为必须项,不选择无法查询,也不会扣分。假如该省内重名少于50结果,将直接表现全部结果并扣费,假如掷中人数过多,你需要继续选择年纪,月份。
精准查询
查询方法为输入真实姓名以及身份证内任意一连的数字,机器人出现猎魔查询按钮。点击按钮进行查询(查到结果扣分,未查到前不扣)
通过精准查询,灰产可以根据你的其他信息(出入地等),锁定个人身份,从而查出你的更多信息。
信息查询(每次1-10分)
大部分信息在这都可以查到,结果包含【密码查询】、【同密码】以及【贴吧绑定】,可以查询快递,开房,户籍,地点,身份证,手机,邮箱,账户,密码等等
身份证主动提示归属地,年纪等信息
手机号主动提示归属地&机主姓名
地点主动匹配高精度定位结果
Hash主动破解成功率更高
去掉只有一条结果的信息
通过一连的Join(关联),还可以查出来:
QQ/手机查名
输入手机/QQ号码查询号主姓名
群关系
隐私葆护功能
这是最为搞笑的:一个售卖百姓隐私数据的产品,居然还主打“隐私功能”!!
你费钱使用了屏蔽功能后,本功能会匿名存储该重要字, 非删除数据。屏蔽功能仅支持在本机器人中隐蔽私家账户,屏蔽后任何人都无法查询。屏蔽后仍会模仿正常查询流程,其他人无法察觉已被屏蔽,正因如此,由于群关系到处可查,故群关系数据不在屏蔽列表中。
总结
我们相信现在全部互联网服务,基于现在中心化的架构,出现数据泄漏问题是一定的,是个概率性事件。
充耳不闻并不管用,你的账号还在,不说明你的安全做的好,只能说对黑客还没有价值——由于许多已经袒露的信息永久袒露了,且可以通过关联技能指数级加强确定性!
空话少说,大家都去改密码吧!
2020年3月19日上午,微博用户“安全_云舒”称,微博数据泄漏,通过用户名就能查得手机号。
而他则是前阿里试验室安全总监,有人已经得到他的手机号,并添加他的私家微信。
详细信息见这里:https://www.tmtpost.com/4275767.html
某平台作者在19日下午亲身体验了一把泄漏数据的灰产产品,已验证密码、个人敏感信息确实被袒露!虽然不确定是否是从微博袒露的,但是通过微博这一公开平台,可以微博ID查脱手机号。从而通过手机号关联到更!多密码、个人身份信息。
在telegram上的一个机器人,可以实现多种信息查询:
微博查手机号、QQ群关系等多种信息查询。
机器人有一个3万多人的群,而查询这些信息则需赞助后才可以使用,赞助费用仅支持BTC和ETH,最低档赞助价格为320元人民币左右。
好孩子看不见https://t.me/shegongkubot
本文网址:
http://www.1cm8858.com/d/202065114712_251_3504491546/home
Ten articles before and after
telegram电报群汇总分享群组广播-电报telegram技巧分享
揭秘甲午战争:清军电报密码被破译谍战片里绝密情报都是员收发的-电报telegram技巧分享
如何删除【暗网仔小指南之一】电报telegram注意事项(本文仅发表于膜乎)-电报telegram技巧分享
币圈最火聊天软件telegram经历了什么?IM应用是如何保障通信安全私密的-电报telegram技巧分享
如何只花¥9.99永久拥有一个美国号码真实的手机号-电报telegram技巧分享
从n号房到telegram到暗网超级网红项目的前世今生-电报telegram技巧分享