版权归原作者所有,如有侵权,请联系我们

暗网里交易的5亿用户隐私

CCF计算机科普
由中国计算机学会主办,提供优质的计算机科普内容。
收藏

一、5亿用户隐私数据泄漏

大东:小白,玩社交软件吗?

小白:玩呀~

大东:啥时候开始玩的?

小白:这怕是要追溯到高中时期...

大东:打住打住,咱今天不讨论这个,我是来提醒你使用社交软件要注意隐私安全的。

小白:嗯?啥情况?难道又发生了什么?

大东:就在前几日,3月19日,某社交网站用户称:“很多人的手机号码泄露了,根据该社交网站账号就能查到手机号……已经有人通过泄露的手机号码,来加微信了。”

小白:真的假的!

大东:在这条状态下,有不少网友留言表示自己也疑似遭遇了数据泄露。涉及到的账号信息包括用户ID、账号发布的文章数、粉丝数、关注数、性别、地理位置等。

小白:天惹噜~快给我讲讲!

二、大话始末

小白:这件事情到底啥情况呀?

大东:有分析人员根据相关线索进行了尝试,证明确实可以通过灰产买到该社交网络的用户信息。

小白:又是灰产!这又是怎么操作的?

大东:研究人员在小道消息的引导下,找到了购买隐私数据其中一个根据地——电报(Telegram)。这个系统是“积分机制”,你可以通过数字货币为该灰产充值,在电报账号的账户转换成积分,使用积分可以找机器人换取各种服务。

小白:这积分贵么?

大东:经分析人员测试,换算成人民币约等于10元查询一次。

小白:那...还真实不贵...怎么查的呀?

大东:如果你选择批量查询,那么机器人将会返回出名单,每次100个左右。内容包括:账号、邮箱、密码等信息。如果你选择根据社交网络账号查询,需要向给机器人输入其主页的ID,机器人返回的结果包括:绑定QQ、绑定手机、微博主页地址。

小白:这么详细!那岂不是只要有人看见我的社交平台,就能查到我的电话QQ号、电话号码了!

大东:是的,除了这两种查询方式,还能根据真实姓名查身份证,通过身份证查真实姓名等操作。

小白:真可怕啊...

三、原理分析

小白:这是什么原理?该社交网络系统被入侵了?

大东:对这件事情,该社交网络平台方面回应,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。微博安全总监称:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”可以从官方的回应看出,是有恶意用户抓住了微博查找好友功能的漏洞,收集了大量用户个人信息和微博信息间的对应关系,通过灰产谋取不义之财。

小白:啥意思?大东东我没听懂。

大东:行,那我给你详细讲讲。小白,你还记得你第一个微博好友是谁么?

小白:我记得!就是我的高中同桌小黑呀~

大东:比课本知识点记得清楚多了呢。那你记得你是怎么找到他的么?

小白:嗯...好像是我用手机号注册了之后,开了手机通讯录权限,然后app就自动向我推荐的~

大东:嗯,你想到什么问题了么?

小白:诶~那如果微博用户的手机通讯录里有我的手机号,那岂不是也能找到我的微博账号了!

大东:因此可以推断出这个灰产是如何诞生的——手机号的源头是有黑客找到一大堆手机号,然后利用微博上传通讯录功能,匹配出来微博ID,对互相一一对应关系进行整理,然后就可以以此牟利了。

小白:太狡猾了!我以后还怎么在微博上分享生活啊!

大东:你的担忧是对的,人们在微博上分享生活,于是每个微博的账号是有人设的,通过手机号找到微博,也就是能通过手机号将人物刻画出来了。

小白:呜呜呜,我再也不用微博了!

大东:不仅仅是微博,其他的app也有类似问题的。只要有你朋友上传了通信录,都存在这个安全隐患。

小白:我的朋友可不能坑我呀。

大东:app的社交属性引发了这个问题,每个app现在要求实名,只能希望用户都有一定的安全意识。

微博隐私灰产原理

四、如何预防

小白:大东东~就没人管管咱小用户么!就这么任人欺负么!

大东:微博表示,此次非法调用微博接口匹配出的信息为微博账号昵称,不涉及身份证、密码,对微博服务没有影响,“发现异常后,及时加强了安全策略,今后还将不断强化。”

小白:好吧,希望以后不会从系统上找到这个漏洞了。

大东:其实,目前曝光内容已删除,也是出于对其他用户效仿的担心。

小白:那咱普通用户,有啥办法可以自我拯救的么?

大东:当然,普通用户最重要的就是提高网络安全意识,注意互联网上的隐私保护。

小白:具体如何防护呢?

大东:首先是要搞清楚隐私泄漏的几种主要方式:一是使用泄漏,如操作失误、打印、外发文件、拍摄屏幕等方式泄漏数据。二是存储泄漏,包括数据中心、服务器和数据库的数据被入侵造成泄漏,移动终端被盗、丢失或维修造成数据泄漏。三是传输泄漏,通过网络监听、拦截等方式对传输数据进行篡改、伪造和窃取。

小白:那咱有啥对应的措施么?

大东:当然了,小白你记好了,可以通过以下方法进行自我安全防护。

1. 谨慎允许App拥有系统权限,一些App总是会申请拥有过多和应用提供的服务不相关的权限,除了通讯录权限外,还有摄像头权限和GPS权限。

2. 检查登录的网站是否安全,看网页是否拥有https或关闭锁定。

3. 在浏览时,不要轻易将身份证号码、个人喜好、所处位置等敏感信息泄露。

4. 不同平台的密码尽量不同,防止撞库带来的信息泄露,密码设置可以通过组合字母,数字和符号来创建安全性较高的密码。

5. 谨慎点击电子邮件中的链接,很多垃圾广告的发件人ID会模仿官方账号,点击链接前务必要确定发件人是否是官方。

小白:懂了!一定注意!

隐私安全(图片来自网络)

评论
科普633c2bb156eb9
进士级
已阅
2023-10-17
孝彦
举人级
已阅
2023-09-29
郑爱东启明星科普工作室
大学士级
学习了
2023-09-29