江苏龙网

  1. 首页 > 资讯 > 科技 > >

信息安全:对话“黑市”卧底:微博信息泄露究竟有多大风险?( 二 )


之前我想要查你的信息 , 可能得先想办法查到你的手机号 , 但因为这次泄露 , 我通过你的微博ID就能查到你的手机号 , 相当于大大降低了人肉的门槛 。 我自己在试验时就发现 , 很多公众人物的手机号都能直接通过微博ID查到 。 所以说 , 这些用户因为手机号被泄露 , 其他私人信息也能很容易地用手机号关联出来 。
▌信息安全面前 , 每个人都在“裸奔”
南都观察 :在发文揭露了这一事件后 , 你的个人信息很快被其他人公开出来 , 包括手机号、身份证等信息都被散播在一些网络群组中 , 可随后你主动站出来公开了更多的个人信息 , 包括你所从事的行业 , 为什么会做这样一个决定?
佟 林 :我已经被挂出来了 , 也就不可能再隐匿 , 只要他们想查肯定能查到 。 那既然已经这样了 , 我就想着不如借此机会向公众揭露更多的事情 , 所以我又发了第二篇文章公开了更多的信息 。
南都观察 :还有人在黑市上众筹你亲友的信息 , 这件事情对他们产生影响了吗?
佟 林 :目前还没有 , 但随时有可能 。 因为现在的手段很齐全 , 这只是他们想不想的问题 。 不过我也和身边的人都同步了消息 , 请他们做好准备 。
南都观察 :我们这些普通用户要如何知道自己的信息是否被泄露了呢?有没有什么预防或弥补的方法?
佟 林 :目前国内没有很好的自查工具 , 国外有一些 , 可以查你的密码是否已经被泄露 。 但老实讲 , 我认为大家不用假设自己的信息没有被泄露 , 因为我身边的人的信息都能在“社工库”里查到 。 信息泄露的问题比大家想象中的要严重得多 。 只是说目前你的信息对其他人没有什么价值 , 所以没有人会去查你 。 也正是如此 , 很多人也就没有什么防范心理 , 不会去修改自己的密码 , 或者去做更多的安全动作 。 可一旦哪天有人想查你了 , 你什么防范措施都没有 , 这是最可怕的 。 至于弥补的措施 , 黑产有一个特征就是只要你的数据流入到库里 , 那就永远不可能抹除 。
南都观察 :能不能给我们简单介绍一下你提到的“社工库”?
佟 林 :这是利用社会工程学的一种数据库 , 历史悠久 , 基本上开发者入门时都了解过 , 而且很多数据都是开源的 , 随便下载 。
比如我有3个数据库 , 一个是微博的手机号+微博ID , 一个是手机号+身份证号 , 一个是手机号+QQ号 , 我可以通过写代码和社会工程的思路 , 用手机号把你的身份都串起来 。 再利用QQ群关系库 , 找到你的好友 , 而在2013年发生了QQ群关系泄露事件之后 , 基本上你前半生的兴趣爱好、好友记录这些信息 , 在黑市里可以随便查 。 通过一次又一次的关联 , 最终这批人手里就可以掌握非常详细的用户档案 。
南都观察 :所以每个人在“社工库”中都有信息“裸奔”的风险吗?
佟 林 :对 , 即使这个库里没有你的信息 , 另一个库里也会有 。 比如这次我被报复 , 有人想查我的信息 , 很轻易就能查到 , 即使他个人没有这个技术 , 花个几十块钱也能买到 。

信息安全:对话“黑市”卧底:微博信息泄露究竟有多大风险?
本文插图

▲ 佟林找到了购买隐私数据其中一个根据地 , 通过电报按图索骥、购买服务 , 摸清了灰产的整个服务架构和运作流程 。? Phala可信网络
▌猖獗的信息灰产
南都观察 :所以如今信息灰产已经是一个很普遍的产业了吗?
佟 林 :是的 , 举一个很宏观的例子 , 贵阳大数据交易所的创始人曾经说过 , 黑市数据交易额大概是合法数据交易额的100倍 。
南都观察 :都有哪些类型的信息会被用来买卖交易呢?
佟 林 :一切信息 , 线上线下的都可以 。 包括身份证号、姓名、家庭地址、手机号、曾经用过的账号密码、QQ群关系等 , 还有一些线下的信息 , 比如手机定位轨迹、银行流水、消费记录 , 都能查到 , 只不过看你愿意付几块钱还是几百块钱 。 最贵的是银行流水 , 花1000多块钱也能查到 。


推荐阅读


上一篇:#2019科技之光#信息显示POCO F2将发布!或是海外版Redmi K30 Pro

下一篇:「我的第一部5G手机」秦皇岛快报:5G时代已来,卢龙移动与您同行