老板:“5分钟,我要这个人的全部资料!"社畜:“好的!老板的要求就是我的追求!”~ 工作不能丢 ~先去看看她身边一起的朋友,经过一番"偶遇",花费了一杯咖啡,找她朋友鹤子成功要到QQ号!直接加QQ问手机号吧,顺便要点照片?糟糕,刚刚排队那么久,买咖啡就不该去瑞幸啊,还剩1分半。疫情尚未结束,工作不能丢了啊。
不行那就...找黑产吧。
~工作不能丢~首先提供qq号,得到一点点信息。接着根据邮箱继续查询。我的天!连密码都有。
最终在最后半分钟拿到姓名、手机号、邮箱、常用密码、曾用账号、qq群关系、身份证号。
当然,霸道总裁只是段子。但是黑产的数据是真实存在的!我混入社群,试图了解一下黑产到底有多少数据,结果只通过qq号码就查询到了那么多的数据,甚至还有密码。更可怕的是,里面的信息从姓名到身份证号,从手机号到常用密码,数据完全正确。
社 工 库黑产中此类查询主要依托于庞大的社工库。何为社工库?依靠着历年来各种数据泄露事件拿到的数据,黑客们脱库撞库拿到的数据,App过度申请权限拿到的数据等等途径,汇聚而成的一个庞大的黑色数据库。
其中包含的数据有账号密码、身份证户口、地理位置、机票信息、开房信息、团购信息等等。
虽说你在互联网上留下的信息数据导致它比你妈都了解你,但数据量实在太多,只要安心做条咸鱼,不会有人注意到你的。当然,如果你心里还有总统梦,还是注意点好。毕竟每次总统大选黑客们都能用手里掌握的黑料换上一大笔钱。
看吧,5月15日,黑客组织又索要4200美元赎金,声称要公布川建国同志的黑料。泄 露 历 史不过话说回来,企业真的会泄露信息吗,这不都是大厂吗?3月19日微博因为接口问题导致海量数据泄露,很多人的手机号被泄露,通过微博oid就能查到真实手机号。而这个月初,国外成人网站CAM4被曝光了多达7TB的数据源文件。其中包括用户姓名、性取向、支付记录、聊天记录、电子邮件信息、IP地址等等,总计多达108.8亿条记录!在这些信息背后,有着1100万条包含电子邮件的记录,2630万条包含密码哈希的记录,以及信用卡类型和所支付金额的信息。
有趣的是,其中竟还包括了53万的中国“受害者”。如果这网站哪天也爆发了“N号房”事件,是不是都不用像政府请愿公布26万涉案人员信息,直接去黑产里买点数据就好啦?保 护 措 施作为一条合格的咸鱼,如何保护自己的隐私数据呢?01密码不要用同一个我先来科普一下什么是“撞库”。比如2014年12月25日12306泄露了小部分用户信息,假设我被泄露的用户名密码为test@primeton.com/aa12345678,接下来黑客可以在微博、知乎、贴吧等等网站尝试登陆,这就叫“撞库”。如果我所有网站密码都相同,那其中只要有一个网站数据被黑,我可能就真的直接裸奔了。
02App权限慎重授权关系到个人信息的权限主要有读写存储、通讯录和定位。知道贷款App为什么一定要通讯录权限吗?你在允许App获取通讯录权限的那一刻,你手机里的所有联系人都会被上传到公司服务器。逾期的时候借贷人不还款催收的时候,你通讯里的“爸”、“妈”、“亲爱的”都会接到电话。03未知链接不要点程序员可能对浏览器地址栏显示的网址敏感一些,一般用户都不看的。
你以为你打开的是http://www.qq.com,其实是http://qq.website.com,奇怪的是这个链接的界面居然跟qq的一模一样,我熟练地输入qq号和密码,接着我的好友就收到的借钱的消息,号又被盗了。04快递地址隐藏现在是网购最火热的时代,也是快递行业的春天,我在文初查到的详细住址很可能就是快递泄露出去的。最早快递单上还打印明文地址电话的时候,拆完快递的第一件事就是把快递单撕了再扔。
现在驿站很方便,建议在不使用真名的同时,将详细住户地址也隐藏起来,送到驿站就行,家里有矿的建议直接使用丰巢。05不连接陌生wifi你在连接别人wifi的那一刻起,你手机与互联网的所有连接都可以被监听。轻则你浏览的各种小网站被监控,重则各平台账号被盗。
举个最简单的例子,某员工上班摸鱼瞎刷网站被领导警告。你连的是公司的wifi,你在电脑上做什么公司想知道是可以知道的。再次重申,你连上wifi时,该路由器管理员是有能力获取到你所有的流量的。你没有被盗号只是因为他不想,而不是他不能。
~ 安心做咸鱼 ~如果你不想被骚扰电话折磨到换号,不想邮箱被垃圾邮件填满,不想因为竞选总统而被竞争对手深挖黑料,从现在开始保护你在互联网上的敏感数据,提高隐私保护意识。或者像我一样,安心做咸鱼,没人关心你的隐私。- The End -关于作者:明月,现任普元移动团队资深开发工程师,长期致力于IT技术研究,产品设计和开发等工作,擅长Java、NodeJs、ReactNative等领域技术。
先后参加深圳登、太平洋保险等移动项目的实施,参与Mobile 8.0移动平台的设计开发工作。
