如今社交媒体的普及,对于我们的生活和社交方式带来了巨大变革。然而,这些平台的便利性也使我们的个人信息更加容易被他人获取和利用。近日,有关通过微博ID寻找手机号的报道引起了人们的关注。这一现象是否意味着新一代的“社工库”已经出现了?让我们一起探讨这个问题。
“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”
这是3月19日,安全界大佬“安全_云舒”在微博上放出的一条重磅消息。
并且,据称甚至连微博CEO王高飞本尊也不幸中招,真是泄密起来“一视同仁”,特公平。
更有用户表示,发现5.38亿条微博用户信息在暗网出售,涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
其中,1.72亿条有账户基本信息,售价0.177比特币。
微博官方回应
针对数据泄露事件,微博很快就回应承认属实,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。
微博安全总监罗诗尧回应称,这些手机号是2019年通过通讯录上传接口被暴力匹配的,内部发现后第一时间已报警。
微博称,此次数据泄露应该追溯到2018年底,当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
此外,微博表示一直有提供“根据通讯录手机号查询微博好友昵称”的服务,用户授权后可以使用。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。
但网络安全圈有很多大牛对微博安全总监罗诗尧的回应并不认可,有人测试了暗网上的数据,给出了流程。
Telegram上的数据灰产
Telegram是一款匿名聊天软件。如果在这款聊天软件上搜索“社工库”,你便能找到网传出售5亿微博用户数据的灰产商家。
据数位在“社工库”查找自己信息的人士反映,他们查到的个人资料几乎都属实,不仅手机号是真实的,甚至连微博密码都是真实的。
经过验证发现,“社工库”出售的不仅仅是微博相关数据,它还支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号。
此外,“社工库”甚至可以可以提供密码、快递、开房、户籍、地址、身份证 、邮箱、账户、个人征信报告等全方位的数据隐私查询服务。
这几乎意味着,如果你想要窥探某个人,而“社工库”又拥有他的数据,你只需要花一定数量的金钱,就能够得到你想要的信息——甚至是那些社会名流,也不能幸免。
交易流程
比如:查名人微博1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:
2、根据李老师的OID,去查询具体信息
李老师的手机号、QQ号已经被查到了:
3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:
可以看到,通过手机号查询得知,我已经暴露了自己的多个密码、真实姓名!
此灰产工具宣称自己是“全网独家数据”,支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。
“社工库”里啥都有,比如与“定位”有关的位置信息:
结尾:安全第一
此次微博到底是“撞库”或“漏水”,以及暗网上这些出售的东西,真真假假,老编也不曾试过,在此也不做评论。
只是,在2016年,微博即与脉脉就抓取用户数据等曾对簿公堂,当时,脉脉也被微博控告称通过用户手机通讯录来非法获取通讯录和新浪微博用户的对应关系。
互联网上,无论是“独行大侠”、“山寨土匪”还是“正规军”,暗地里可能无时不刻都在各种撞库,如今各种“社工库”是越来越多,越碰撞越大。
各位还是小心谨慎为好,最简单最好的防范方式就是不要同一套用户名密码到处使用。狡兔尚懂三窟,兽犹如此,你还那么懒惰,该情何以堪?
切记一条:凡是上了网的东西,就不再是秘密,别管怎么拍着胸脯跟你吹嘘固若金汤,绝不会外泄。老编的密码就曾上了CSDN的泄漏名单,还真查到了。
国内还有个很不好的“风气”,无论什么APP,什么平台,都特喜欢,或是直接强制要求绑定手机号(政策原因),而手机号又都是实名的,造成捆绑信息泄漏也真实防不胜防,“下游”拿到的数据都是100%真实身份的,一个个都是偷着乐。
所以你大概也明白为什么那么多骚扰电话都知道你:买房了、买车了、怀孕了、生孩子了、孩子毕业班了…吧?
这个话题如果要引开说,又要涉及到“隐身术”又是长篇累牍,就不多说了。我想大部分人其实也都已经选了“投降”,看破红尘,任人宰割,互联网时代,大数据画像时代,哪里防得住窥视呢,除非做野人吧?