金色荐读 | 微博数据泄露背后:用价值10元的加密货币即可“围观”隐私

编者按:

1. 本文中的所有查询到的敏感结果已经打码,保护当事人隐私。

 2. 本人作者已将所有查询到的信息删除清空。

 3. 本文写作较为草率,如有不准确希望理解,希望对大家的个人保护警惕起到抛砖引玉的作用!

3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”

随后,该网友在微博下的留言中进一步表示,他通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了,我昨晚查过。”(“来总”代指微博CEO王高飞)

本文作者在19日下午亲自体验了一把泄露数据的灰产产品,已验证密码、个人敏感信息确实被暴露!虽然不确定是否是从微博暴露的,但是通过微博这一公开平台,可以微博ID查出手机号。从而通过手机号关联到更多密码、个人身份信息。

我们总结了一些内容,希望能让大家对个人隐私保护及密码管理产生警惕,也希望大家能按图索骥,查出背后团体的真凶。

概述

本次数据泄露据说是由微博而来,在消息的引导下,我们找到了购买隐私数据其中一个根据地:电报(Telegram),通过电报按图索骥、购买服务,摸清了灰产的整个服务架构。

交易流程概述

1.加入电报

2.找到售卖机器人

3.机器人分享报价和交易方式

4.选择交易

5.机器人给出比特币/ETH数字货币地址

6.打款后,机器人为电报账号充值积分

7.利用积分查询

该系统是“积分机制”,即你通过数字货币为该灰产充值,则电报账号在灰产的账户中会多一些积分。使用积分可以查询各种服务:

作者亲测, 0.358  ETH = 260积分,10积分可以做一次普通查询,则相当于 0.0138 ETH一次,约等于10元一次

 服务流程概述

1. 选择批量查询→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、密码 等信息

瑞典央行表示央行数字货币不可能复制现金的功能:瑞典的中央银行(Riksbank)在探索数字货币的可行性方面做了比大多数其他机构更多的研究,它表示,根据周二发布的一份报告,用户将无法像使用银行票据那样匿名操作。

这一发现触及到了一个关键的悖论。为了让央行数字货币像现金一样,它既要匿名,又要可以离线使用。但数字货币的技术结构要求它们必须经过远程账本的验证,以避免伪造,影响匿名性。Riksbank表示,假设电子克朗能“离线匿名运行”是错误的。

根据Riksbank的说法,大多数探索数字货币的央行(58%)似乎都选择了基于代币的模式,Riksbank引用了centralbanking|.com的2020年调查。到目前为止,其研究表明,基于代币的数字货币似乎“在实现类似现金的属性方面没有比基于账户的数字货币更好”。

Riksbank在去年的一份报告中表示,代币是“不记名工具,本身就代表了对货币价值的所有权”,而基于账户的数字货币可以与存款相提并论,因为它显示了对某种形式的金融中介或央行本身的货币余额的所有权。[2021/2/17 17:23:11]

2. 选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括:绑定QQ、绑定手机、微博主页地址

输入绑定QQ,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、QQ关联账号、QQ密码

输入绑定手机,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机

3. 直接查询真实姓名:机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址

4. 直接查询身份证号:机器人输出身份证号和真实姓名

总结

这次的灰产产品有如下几个特征:

1.可信性极强:整个流程中,历史上被撞库的密码,通过身份证、真实姓名、邮箱、手机号、QQ号被关联,因此准确程度比以往的库都要强大一些

2.人人危机:本次引爆点是通过微博公开的OID查询到个人手机号和身份证,因此任何人都可以再通过手机号查询到他人密码,从而完成对任何人的资产攻击!下文将介绍实例。

3.自动化强:在流程中,灰产作者很好的利用了以下三个工具完成了身份匿名:

Telegram,匿名通讯

Telegram的自制机器人,完成自动交易

BTC/ETH等数字货币,且为每个用户单独生成地址,便于和反侦察

详述

交易详述

先在Telegram找到社工群,与电报机器人聊天。

获取通过数字货币给机器人充值的地址:https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76

充值成功

交易流程

贴吧/QQ/微博/LOL查绑(每次30-80分)

输入手机/贴吧ID/微博ID/QQ/LOL 互相查询对应绑定信息。

此灰产工具宣称自己是“全网独家数据”,外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。

支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。

微博ID就是微博用户主页后面的数字,有些用户是个性域名,可以进入主页右键查看源码,如下图oid即为微博ID。

举例:查名人微博

1.我们先去李X乐老师那里,右键打开“源码”模式,获取到李老师的OID:

2.根据李老师的OID,去查询具体信息

3.拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:

可以看到,通过手机号查询,我已经暴露了自己的多个密码、真实姓名!

猎魔查询

猎魔查询即列表模糊查询,是来自网的一种业务,现在在机器人也可以查询了。

该功能旨在寻找知道姓名,性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据(以社会知名人士测试综合命中率已高达70%以上),

猎魔查询分为三种查询模式:模糊查询,精准查询,占位符查询

模糊查询

查询方式为输入真实姓名,根据提示点击按钮进行查询。输出结果后,可以选择性别/省份,这两个选项为必须项,不选择无法查询,也不会扣分。如果该省内重名少于50结果,将直接显示全部结果并扣费,如果命中人数过多,你需要继续选择年龄,月份。

精准查询

查询方式为输入真实姓名以及身份证内任意连续的数字,机器人出现猎魔查询按钮。点击按钮进行查询(查到结果扣分,未查到前不扣)

通过精准查询,灰产可以根据你的其他信息(出入地等),锁定个人身份,从而查出你的更多信息。

信息查询(每次1-10分)

大部分信息在这都可以查到,结果包含【密码查询】、【同密码】以及【贴吧绑定】,可以查询快递,开房,户籍,地址,身份证,手机,邮箱,账户,密码等等

1.身份证自动提示归属地,年龄等信息

2.手机号自动提示归属地&机主姓名

3.地址自动匹配高精度定位结果

4.Hash自动破解成功率更高

5.去掉只有一条结果的信息

通过连续的Join(关联),还可以查出来:

1.QQ/手机查名

2.输入手机/QQ号码查询号主姓名

3.群关系

最搞笑的“隐私保护”功能

这是最为搞笑的:一个售卖公民隐私数据的产品,居然还主打“隐私功能”!!

你花钱使用了屏蔽功能后,本功能会匿名存储该关键字, 非删除数据。屏蔽功能仅支持在本机器人中隐藏私人账户,屏蔽后任何人都无法查询。屏蔽后仍会模拟正常查询流程,其他人无法察觉已被屏蔽,正因如此,由于群关系随处可查,故群关系数据不在屏蔽列表中。

写在最后

我们相信目前所有互联网服务,基于目前中心化的架构,出现数据泄露问题是必然的,是个概率性事件。

充耳不闻并不管用,你的账号还在,不说明你的安全做的好,只能说对黑客还没有价值——因为很多已经暴露的信息永远暴露了,且可以通过关联技术指数级增强确定性!

废话少说,大家都去改密码吧。

本文作者:Phala Network CEO 佟林

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

MATIC加密货币是否正在成为犯罪交易的催化剂?

近日,成都链安·安全实验室对国内某著名社交平台大量用户信息在暗网及其他渠道出现泄露事件进行了跟踪分析,涉及的信息贩售平台以所谓的赞助积分的方式通过BTC和ETH兜售这些敏感隐私信息,通过用户的一些基本信息即可关联查询到用户的其他相关信息,包括用户真实姓名、使用过的账号、密码、邮箱、登陆地区等,这也引出我们当前的关注点,加密货币在暗网犯罪市场的使用。

比特币价格金色观察丨与暴跌无关 比特币“HODLer”不减反增

金色财经 区块链3月19日讯  根据Unchained Capital最新发布的调查报告发现,比特币价格近期高度波动与那些持有比特币数年、甚至更长时间的人——也就是我们所说的“HODLer”并没有太多关联,也就是说,那些已经“存放”很长时间的比特币并没有因为2019年或2020年的价格波动而移动资金。

比特币Chainalysis:即使市场动荡 散户仍无法主导比特币市场

在 3 月 9 日至 3 月 15 日这周,加密货币市场出现了前所未有的波动,在此期间大量比特币流入交易所。最近,Chainalysis 对这段特殊时期的比特币交易流动进行了分析,结果发现,虽然大量散户加入到买卖双方中,但实力雄厚的专业交易员和投资者依然在主导比特币市场——不过,加密市场的投资趋势正在悄然发生改变。

DAI金色前哨 | 5.38亿用户数据在暗网出售 微博回应:已报警

近日,有用户发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息,售价0.177枚比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。 对此,微博安全总监罗诗尧发微博回应表示:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。

[0:0ms0-2:628ms