點擊上方 "程序員小樂"關注, 星標或置頂一起成長
每天凌晨00點00分, 第一時間與你相約
每日英文
Never expect, never assume, and never demand. Just let it be, because if it's meant to be, it will happen the way you want it to.
永不期待,永不假設,永不強求。順其自然,若是註定發生,必會如你所願。
每日掏心話
其實,許多事從一開始就已預感到了結局,往後所有的折騰,都不過只是為了拖延散場的時間 。
程序員小樂(ID:study_tech)第 812 次推文 圖片來自百度
往日回顧:最全最強解析:支付寶系統架構內部剖析(架構圖)
正文
3月19日晚間,業內大佬反應,稱:
在Telegram上通過交易,查到了自己微博綁定的主要信息,包括賬號身份證號、密碼、手機號等等,有的人的個人信息還包括使用過的多個老密碼。
微博數據突遭洩露
3月19日消息,微博名為“安全_雲舒”的用戶轉發微博時稱:“很多人的手機號碼洩露了,根據微博賬號就能查到手機號……已經有人通過微博洩露查到我的手機號碼,來加我微信了。”在其微博下,有不少網友留言表示自己也疑似遭遇了數據洩露。連微博“老大哥”“來去之間”(微博CEO,王高飛)也不幸中招。
經查證,該微博信息顯示,此人為默安科技創始人兼CTO,原阿里集團安全研究實驗室總監。默安科技方面證實稱,“安全_雲舒”確為默安科技CTO魏興國,“雲舒”是其在阿里巴巴的花名。
在“安全_雲舒”的用戶主頁上,目前已經找不到上圖微博內容,只留有昨晚其轉發的一條微博表示:“btw,我只是說數據洩露,沒說是脫褲哈。看來2019年是通過接口被人薅走了一些數據”。
更有用戶表示,發現5.38億條微博用戶信息在暗網出售,其中,1.72億條有賬戶基本信息,售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發佈的微博數、粉絲數、關注數、性別、地理位置等。
針對“數據洩露”事件,微博方面回應媒體稱內部正在瞭解情況。
很快,微博針對微博數據洩露一事回應承認屬實,目前已及時強化安全策略,並表示這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。
但是微博還稱,“此次數據洩露應該追溯到2018年底,當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
其一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有“根據用戶暱稱查手機號”的服務。
因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。此次非法調用微博接口匹配出的信息即為微博賬號暱稱,不涉及其餘隱私數據。”微博安全總監羅詩堯表示:“洩漏的手機號是19年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的。”
值得注意的是,認證為微博安全總監的網友@羅詩堯也在評論中回覆稱,這應該是此前出現了數據“撞庫”或“漏水”現象,“多謝關心,每隔段時間就有人在網上賣(數據),每次都會引起一波輿情,本不想回應,這條微博今後還會用得上。”
至於“撞庫”或“漏水”,就不多說了。
曾在2016年,微博即與脈脈就抓取用戶數據等曾對簿公堂,當時,脈脈也被微博控告稱通過用戶手機通訊錄來非法獲取通訊錄和新浪微博用戶的對應關係。
此次數據洩露雖未能確定是否從微博端暴露,但是通過微博這一公開平臺,可以微博ID查出手機號,通過手機號可以獲取到更多密碼、個人身份信息等內容。
Telegram上的數據灰產
Telegram是一款匿名聊天軟件。如果在這款聊天軟件上搜索「社工庫」,你便能找到網傳出售5億微博用戶數據的灰產商家。
據數位在「社工庫」查找自己信息的人士反映,他們查到的個人資料幾乎都屬實,不僅手機號是真實的,甚至連微博密碼都是真實的。
經過驗證發現,「社工庫」出售的不僅僅是微博相關數據,它還支持QQ查手機/手機查QQ,微博uid查手機/手機反查微博,貼吧賬號查手機/手機查貼吧賬號。
此外,「社工庫」甚至可以可以提供密碼、快遞、開房、戶籍、地址、身份證 、郵箱、賬戶、個人徵信報告等全方位的數據隱私查詢服務。這幾乎意味著,如果你想要窺探某個人,而「社工庫」又擁有他的數據,你只需要花一定數量的金錢,就能夠得到你想要的信息。——甚至是那些社會名流,也不能倖免。
數字貨幣充當支付手段
查詢這些數據所需要花費的金錢是多少呢?他們又是如何收錢的呢?
根據教程,「社工庫」以「積分機制」的形式販賣服務。用戶可以通過BTC或者以太坊為服務充值以獲取積分,然後使用積分可以查詢各種服務。當然,在「社工庫」的話語體系裡,這種購買行為被稱之為「贊助」。
通過0.00678個比特幣,或者0.358個以太坊,用戶可以獲260積分。充值積分越多,獲得單個積分也就越便宜,例如0.01個比特幣能夠獲得499積分,0.03比特幣能夠獲得2303積分,0.05個比特幣能夠獲得5756積分。此外,如果你能夠為「社區庫」貢獻數據,你還能夠獲得獎勵積分。
其中,10積分可以做一次普通查詢,約等於10元一次;50積分(50元)可以查一個貼吧/QQ微博套餐服務;個人徵信報告則賣到了1200元。
交易流程
貼吧/QQ/微博/LOL查綁(每次30-80分)
輸入手機/貼吧ID/微博ID/QQ/LOL 互相查詢對應綁定信息。此灰產工具宣稱自己是“全網獨家數據”,外面的查綁基本都是在機器人查詢的。請注意該查詢非實時綁定信息。支持QQ查手機/手機查QQ,微博uid查手機/手機反查微博,貼吧賬號查手機/手機查貼吧賬號,LOL暱稱查對應QQ、手機、姓名等。微博ID就是微博用戶主頁後面的數字,有些用戶是個性域名,可以進入主頁右鍵查看源碼,如下圖oid即為微博ID。
比如:查名人微博
1、我們先去李X樂老師微博,打開他的主頁,通過chrome右鍵打開“源碼”模式,獲取到李老師的OID:
可以看到,通過手機號查詢得知,我已經暴露了自己的多個密碼、真實姓名!
由於灰產交易在今日引發了媒體的強烈關注,加入Telegram群購買服務的人也隨之激增。目前尚不清楚,這件事究竟為數字貨幣行業導入了多少流量,但比特幣和以太坊的價格在今日暴漲。其中比特幣價格上漲了8.6%,至5800美元;以太坊的價格上漲了8.4%,至125美元。
總結
廢話不多說,趕緊去改密碼吧!
參考文章內容來源:cnbeta.com/articles/tech/957427.htmmp.weixin.qq.com/s/LzxrIgFeA6b0DkfoO0DJTwmp.weixin.qq.com/s/LzxrIgFeA6b0DkfoO0DJTw
歡迎在留言區留下你的觀點,一起討論提高。如果今天的文章讓你有新的啟發,學習能力的提升上有新的認識,歡迎轉發分享給更多人。
猜你還想看
阿里、騰訊、百度、華為、京東最新面試題彙集
統一異常處理介紹及實戰,看這篇就對了!
真正理解Mysql的四種隔離級別,看了都說好!
GitHub宣佈收購npm,微軟或成最大贏家!開源界野蠻競爭影響1200萬開發者
關注訂閱號「程序員小樂」,收看更多精彩內容
嘿,你在看嗎?
閱讀更多 程序員小樂 的文章
