暗網裡交易的5億用戶隱私丨專欄

2020-12-22 網易新聞

一、5億用戶隱私數據洩漏

大東:小白,玩社交軟體嗎?

小白:玩呀~

大東:啥時候開始玩的?

小白:這怕是要追溯到高中時期...

大東:打住打住,咱今天不討論這個,我是來提醒你使用社交軟體要注意隱私安全的。

小白:嗯?啥情況?難道又發生了什麼?

大東:就在前幾日,3月19日,某社交網站用戶稱:「很多人的手機號碼洩露了,根據該社交網站帳號就能查到手機號……已經有人通過洩露的手機號碼,來加我微信了。」

小白:真的假的!

大東:在這條狀態下,有不少網友留言表示自己也疑似遭遇了數據洩露。涉及到的帳號信息包括用戶ID、帳號發布的文章數、粉絲數、關注數、性別、地理位置等。

小白:天惹嚕~快給我講講!

二、大話始末

小白:這件事情到底啥情況呀?

大東:有分析人員根據相關線索進行了嘗試,證明確實可以通過灰產買到該社交網絡的用戶信息。

小白:又是灰產!這又是怎麼操作的?

大東:研究人員在小道消息的引導下,找到了購買隱私數據其中一個根據地——電報(Telegram)。這個系統是「積分機制」,你可以通過數字貨幣為該灰產充值,在電報帳號的帳戶轉換成積分,使用積分可以找機器人換取各種服務。

小白:這積分貴麼?

大東:經分析人員測試,換算成人民幣約等於10元查詢一次。

小白:那...還真實不貴...怎麼查的呀?

大東:如果你選擇批量查詢,那麼機器人將會返回出名單,每次100個左右。內容包括:帳號、郵箱、密碼等信息。如果你選擇根據社交網絡帳號查詢,需要向給機器人輸入其主頁的ID,機器人返回的結果包括:綁定QQ、綁定手機、微博主頁地址。

小白:這麼詳細!那豈不是只要有人看見我的社交平臺,就能查到我的電話QQ號、電話號碼了!

大東:是的,除了這兩種查詢方式,還能根據真實姓名查身份證,通過身份證查真實姓名等操作。

小白:真可怕啊...

三、原理分析

小白:這是什麼原理?該社交網絡系統被入侵了?

大東:對這件事情,該社交網絡平臺方面回應,微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。微博安全總監稱:「洩漏的手機號是19年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的。」可以從官方的回應看出,是有惡意用戶抓住了微博查找好友功能的漏洞,收集了大量用戶個人信息和微博信息間的對應關係,通過灰產謀取不義之財。

小白:啥意思?大東東我沒聽懂。

大東:行,那我給你詳細講講。小白,你還記得你第一個微博好友是誰麼?

小白:我記得!就是我的高中同桌小黑呀~

大東:比課本知識點記得清楚多了呢。那你記得你是怎麼找到他的麼?

小白:嗯...好像是我用手機號註冊了之後,開了手機通訊錄權限,然後app就自動向我推薦的~

大東:嗯,你想到什麼問題了麼?

小白:誒~那如果微博用戶的手機通訊錄裡有我的手機號,那豈不是也能找到我的微博帳號了!

大東:因此可以推斷出這個灰產是如何誕生的——手機號的源頭是有黑客找到一大堆手機號,然後利用微博上傳通訊錄功能,匹配出來微博ID,對互相一一對應關係進行整理,然後就可以以此牟利了。

小白:太狡猾了!我以後還怎麼在微博上分享生活啊!

大東:你的擔憂是對的,人們在微博上分享生活,於是每個微博的帳號是有人設的,通過手機號找到微博,也就是能通過手機號將人物刻畫出來了。

小白:嗚嗚嗚,我再也不用微博了!

大東:不僅僅是微博,其他的app也有類似問題的。只要有你朋友上傳了通信錄,都存在這個安全隱患。

小白:我的朋友可不能坑我呀。

大東:app的社交屬性引發了這個問題,每個app現在要求實名,只能希望用戶都有一定的安全意識。

微博隱私灰產原理

四、如何預防

小白:大東東~就沒人管管咱小用戶麼!就這麼任人欺負麼!

大東:微博表示,此次非法調用微博接口匹配出的信息為微博帳號暱稱,不涉及身份證、密碼,對微博服務沒有影響,「發現異常後,及時加強了安全策略,今後還將不斷強化。」

小白:好吧,希望以後不會從系統上找到這個漏洞了。

大東:其實,目前曝光內容已刪除,也是出於對其他用戶效仿的擔心。

小白:那咱普通用戶,有啥辦法可以自我拯救的麼?

大東:當然,普通用戶最重要的就是提高網絡安全意識,注意網際網路上的隱私保護。

小白:具體如何防護呢?

大東:首先是要搞清楚隱私洩漏的幾種主要方式:一是使用洩漏,如操作失誤、列印、外發文件、拍攝屏幕等方式洩漏數據。二是存儲洩漏,包括數據中心、伺服器和資料庫的數據被入侵造成洩漏,移動終端被盜、丟失或維修造成數據洩漏。三是傳輸洩漏,通過網絡監聽、攔截等方式對傳輸數據進行篡改、偽造和竊取。

小白:那咱有啥對應的措施麼?

大東:當然了,小白你記好了,可以通過以下方法進行自我安全防護。

1. 謹慎允許App擁有系統權限,一些App總是會申請擁有過多和應用提供的服務不相關的權限,除了通訊錄權限外,還有攝像頭權限和GPS權限。

2. 檢查登錄的網站是否安全,看網頁是否擁有https或關閉鎖定。

3. 在瀏覽時,不要輕易將身份證號碼、個人喜好、所處位置等敏感信息洩露。

4. 不同平臺的密碼儘量不同,防止撞庫帶來的信息洩露,密碼設置可以通過組合字母,數字和符號來創建安全性較高的密碼。

5. 謹慎點擊電子郵件中的連結,很多垃圾廣告的發件人ID會模仿官方帳號,點擊連結前務必要確定發件人是否是官方。

小白:懂了!一定注意!

隱私安全(圖片來自網絡)

特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺「網易號」用戶上傳並發布,本平臺僅提供信息存儲服務。

相關焦點

  • 5億微博用戶數據洩露?暗網無人交易,專家建議用戶勤改密碼
    一位金融行業的安全工程師告訴澎湃新聞(www.thepaper.cn)記者,在暗網發布「5.38億微博用戶綁定手機號數據」的賣家最後在線時間是3月24日,目前該商品的成交量是0單,無人下單。「賣家已經警惕,在暗網上,商品頁面標註了『當前交易處於修正中,暫時不能交易』。」該安全工程師說。
  • 微博5億多用戶信息在暗網被交易,價格驚人,網友:暗網是什麼
    事件回顧:3月4號,在暗網有一則交易信息標價1388美元,售賣的商品竟然是5.38億微博用戶的私人信息,這些信息包含用戶的手機號,其中有1.72億含有用戶的ID,頭像,粉絲數,所在地等敏感信息。經過測試,部分數據是真實的。想想這麼龐大的用戶數據卻只賣了這麼低的價格,不得不讓人吃驚。
  • 疑似順豐3億條信息洩露 牽出令人恐怖的暗網黑色交易鏈
    繼8月28日華住5億用戶隱私信息洩露事件引發熱議後,今天一則【#疑似順豐用戶3億條數據被洩露#,售價兩個比特幣!順豐公司已報警】刷屏微博頭條。事件發生後,順豐方面回應稱公司已第一時間報警,經技術手段交叉驗證,暗網所售數據非順豐數據。其次暗網所售數據均不涉及快件單號、託寄物、收發件時間等物流特徵信息,其來源不明,冠以順豐名義目的可疑。
  • 開房信息洩露引出「暗網」黑色交易生態
    「暗網」論壇中存在大量出售個人信息內容。翻拍手機屏幕「暗網」論壇一則帖子包含出售槍枝彈藥的信息。翻拍手機屏幕常用網際網路無法直接訪問,登錄論壇需多重特殊手段,內容含有槍枝彈藥、毒品等大量非法信息8月28日,華住集團旗下連鎖酒店用戶信息被曝疑似洩露,賣家在「暗網」打包售賣5億條住客數據。
  • 揭秘真實暗網:人被明碼標價,隱私宛若商品
    2020年3月19日,「N號房」節目的運營者「趙博士」被捕,3天後,韓國警方對涉案的13人進行立案,由此,轟動世界的「N號房事件」逐漸浮出水面——犯罪嫌疑人們利用某社交軟體,來進行性交易,他們威脅包括未成年人在內的數十名女性,拍攝進行帶有凌辱性質的視頻和照片,然後賣給「N號房」裡的用戶。
  • 暗網 -- 警察叔叔的魚塘
    首先來個官方的暗網簡介暗網(不可見網,隱藏網)是指那些存儲在網絡資料庫裡、但不能通過超連結訪問而需要通過動態網 頁技術訪問的資源集合,不屬於那些可以被標準搜尋引擎索引的表面網絡。據估計,暗網比表面網站大幾個數 量級。
  • 全世界最大的暗網被封了,創始人自殺,但章瑩穎們仍下落不明
    7月5日,AlphaBay創始人,25歲的加拿大人亞歷山大.卡茲在泰國被捕,美國檢方以毒品交易、洗錢、盜用身份等罪名對他提出指控。卡茲12日羈押候審期間自殺身亡。暗網,這個網際網路世界的鮮為人知的地區,已經滋生了無數的犯罪,充斥著軍火、毒品交易、兒童婦女販賣、兒童色情、買兇殺人,甚至也是恐怖軍火組織招募人員的窩點。
  • 《解除好友:暗網》 :年度最佳恐怖片
    《解除好友:暗網》,就是這樣一部值得5星推薦的恐怖片。要知道,在豆瓣上,恐怖片可向來分數不高,連去年那麼紅火的《逃出絕命鎮》不過是7.6分,《小丑還魂》只有7.3分,而《昆池巖》則只有可憐的6.1分.。但是,這一部《解除好友:暗網》,卻拿了7.9分的高分,這的確說明了網友們對本片的喜愛和評價可不是一般的高度。
  • 揭秘真實暗網:人被明碼標價,隱私宛若商品,歐巴馬也在名單之列
    2020年3月19日,「N號房」節目的運營者「趙博士」被捕,3天後,韓國警方對涉案的13人進行立案,由此,轟動世界的「N號房事件」逐漸浮出水面——犯罪嫌疑人們利用某社交軟體,來進行性交易,他們威脅包括未成年人在內的數十名女性,拍攝進行帶有凌辱性質的視頻和照片,然後賣給「N號房」裡的用戶。
  • 揭秘「暗網」:比特幣狂歡的暗黑世界
    也正因為脫離了各國政府的監管,這裡成了一個「法律真空地帶」,很多槍枝、毒品、假鈔、護照,甚至是人體器官、兒童性奴都在「暗網」交易。據傳,章瑩穎案嫌疑犯在實施綁架前就曾登錄「暗網」的「綁架小組」來尋求信息,而ISIS更有通過「暗網」進行了大量的洗腦與武裝分子的招募。值得注意的是,槍枝彈藥等管制武器是「暗網」最主流的交易品,曾經比特幣在「暗網」裡的發家靠的就是軍火交易。
  • 暗網的前世今生
    數據避風港的興起表明了人們對在線隱私和安全的日益關注,這正是當今暗網用戶最為關注的兩個方面。四比特幣:為暗網的發展插上翅膀在比特幣出現之前,雖然出現了大量的暗網網站,但基本上都是一些論壇博客類網站進行技術的分享,基本上沒有在線交易的產生,因為暗網上的用戶往往處在不同的國家,使用的是不同的貨幣,而且雙方都不想冒險使用信用卡或
  • 網際網路的另一面,深不可測的「暗網」
    目前最主流的暗網是Tor(洋蔥路由)暗網,用戶要使用Tor瀏覽器才能訪問域內網站。另外還有很多更小眾、訪問方式更奇怪的暗網,這裡就不贅述了。 Tor的誕生很有意思,這項技術最早是由美國海軍研究實驗室開發的,目的是保護美國情報通信,也就是搞諜戰用的。
  • 全球第二大暗網交易平臺被端 華住開房信息也曾被拿上暗網叫賣
    天下網商記者 張超德國執法機構5月3日宣布,已成功摧毀全球第二大暗網交易平臺「華爾街市場」。這是歐美聯合圍剿暗網平臺的又一重大成果。德國聯邦刑事調查局和法蘭克福總檢察院當天發表聲明說,警方今年4月逮捕了3名德國籍犯罪嫌疑人,他們涉嫌參與運營名為「華爾街市場」的非法暗網交易平臺。目前平臺伺服器等已被警方控制。
  • 變態男子暗網密謀奸屍吃人被捕 全球最骯髒網絡暗網介紹
    暗網和表層網絡的比例: 暗網這個概念是在1994年由美國軍方科學 家提出的,1996年5月,美國海軍研究實 驗所的3名科學家提交了一篇論文,題目是《隱藏路徑信息》,提出打造一個系統, 使用者在連接網際網路時不會向伺服器洩露身份。他們稱之為「洋蔥路由」,因為保護數據的口令像洋蔥一樣層層迭迭。2003年10月,這一想法開始正式實施。
  • 暗網,一個網際網路的法外之地
    出於不同的目的,一些人為了躲避追蹤,保證自己在網絡上的操作不被追蹤記錄,於是就尋求一些隱私保障度高的網站進行一些秘密交易,這就間接的導致了暗網的興起,暗網這個名詞,第一次被人們所知曉。深網與暗網是一個可以相互轉換的術語,但他們卻是兩種不同的東西,具有兩種不同的涵義。
  • 「暗網」江湖:另一個平行的網際網路世界
    在欣賞香豔照片之餘,有人注意到這次信息洩露事件雖然源自名流們隱私保護意識的淡漠,但是真正將豔照流出規模擴大到人盡皆知的導火索,就在於有黑客在「暗網」上明碼標價的兜售這些豔照,這是構成購買者二次傳播的關鍵前提。 所謂的「暗網」,其英文原名叫作「Deep Web」,又稱深層網絡,它有泛指和特指兩種層面的定義。
  • 「暗網」:另一個平行的網際網路世界-虎嗅網
    在欣賞香豔照片之餘,有人注意到這次信息洩露事件雖然源自名流們隱私保護意識的淡漠,但是真正將豔照流出規模擴大到人盡皆知的導火索,就在於有黑客在「暗網」上明碼標價的兜售這些豔照,這是構成購買者二次傳播的關鍵前提。 所謂的「暗網」,其英文原名叫作「Deep Web」,又稱深層網絡,它有泛指和特指兩種層面的定義。
  • 「暗網」:另一個平行的網際網路世界
    就像那句話所說的:「一種形式的豐裕必然造成另一種形式的稀缺」,網際網路愈加開放和透明,遺世獨立的隱匿需求就與日俱增,在極客看來,Tor是一片還沒有被政府權力和商業巨頭染指的淨土,是自由力量瞄準監管壓迫的一次反擊,但是,革命的偉大隊伍裡,也容易混入壞人。
  • 2.67億個Facebook帳戶信息在暗網出售,只賣600美元?
    如今,Cyble發現,又有2.67億Facebook用戶信息被盜,包括姓名、郵箱地址、電話、社會身份、性別等,這些信息在暗網上以僅600美元的價格出售。目前,尚未清楚這些信息是如何在第一時間被洩露的,不過根據Cyble工作人員的說法,很可能是第三方API洩露或報廢導致的。
  • 微博可能洩露5億用戶手機號,用戶信息或在暗網出售
    據此前報導,有人 3 月 5 日發帖銷售 5.38 億微博用戶數據,稱包括用戶 ID 和用戶所綁定手機號。除此之外,其中 1.72 億有帳號基本信息。基本信息包括:用戶名、關注數、地理位置、最後一次微博發布時間等微博公開信息。發布者稱數據為 2019 年年中獲得。