隐私一览无余!微博泄露事件卧底调查报告
|
副标题[/!--empirenews.page--]
3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。” 随后,该网友在微博下的留言中进一步表示,他通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了,我昨晚查过。”(“来总”代指微博CEO王高飞) 本文作者在19日下午亲自体验了一把泄露数据的灰产产品,已验证密码、个人敏感信息确实被暴露!虽然不确定是否是从微博暴露的,但是通过微博这一公开平台,可以微博ID查出手机号。从而通过手机号关联到更多密码、个人身份信息。 我们总结了一些内容,希望能让大家对个人隐私保护及密码管理产生警惕,也希望大家能按图索骥,查出背后团体的真凶。 概述 本次数据泄露据说是由微博而来,在小道消息的引导下,我们找到了购买隐私数据其中一个根据地:电报(Telegram),通过电报按图索骥、购买服务,摸清了灰产的整个服务架构。 交易流程概述 加入电报 找到售卖机器人 机器人分享报价和交易方式 选择交易 机器人给出比特币/ETH数字货币地址 打款后,机器人为电报账号充值积分 利用积分查询 该系统是“积分机制”,即你通过数字货币为该灰产充值,则电报账号在灰产的账户中会多一些积分。使用积分可以查询各种服务:
作者亲测, 0.358 ETH = 260积分,10积分可以做一次普通查询,则相当于0.0138 ETH一次,约等于10元一次 服务流程概述
选择批量查询→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、密码 等信息
选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括:绑定QQ、绑定手机、微博主页地址 输入绑定QQ,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、QQ关联账号、QQ密码 输入绑定手机,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机
直接查询真实姓名:机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址
直接查询身份证号:机器人输出身份证号和真实姓名 总结
这次的灰产产品有如下几个特征: 1、可信性极强:整个流程中,历史上被撞库的密码,通过身份证、真实姓名、邮箱、手机号、QQ号被关联,因此准确程度比以往的库都要强大一些 2、工具链齐全,人人可被查:本次引爆点是通过微博公开的OID查询到个人手机号和身份证,因此任何人都可以再通过手机号查询到他人密码,从而完成对任何人的资产攻击!下文将介绍实例。 3、自动化强:在流程中,灰产作者很好的利用了以下三个工具完成了身份匿名—— Telegram,匿名通讯 Telegram的自制机器人,完成自动交易 BTC/ETH等数字货币,且为每个用户单独生成地址,便于洗钱和反侦察 详述 交易详述 先在Telegram找到社工群
与电报机器人聊天
获取通过数字货币给机器人充值的地址:希望对执法分析有所帮助https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76 充值成功
交易流程贴吧/QQ/微博/LOL查绑(每次30-80分) 输入手机/贴吧ID/微博ID/QQ/LOL互相查询对应绑定信息。 此灰产工具宣称自己是“全网独家数据”,外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。 支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。 微博ID就是微博用户主页后面的数字,有些用户是个性域名,可以进入主页右键查看源码,如下图oid即为微博ID。 比如:查名人微博 1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:
2、根据李老师的OID,去查询具体信息 李老师的手机号、QQ号已经被查到了
3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:
可以看到,通过手机号查询得知,我已经暴露了自己的多个密码、真实姓名! 猎魔查询 猎魔查询即列表模糊查询,据该灰产宣称是“来自公安网的一种业务”,现在在机器人也可以查询了。 该功能旨在寻找知道姓名,性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据(以社会知名人士测试综合命中率已高达70%以上), 猎魔查询分为三种查询模式:模糊查询,精准查询,占位符查询 模糊查询 (编辑:555手机网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
