話說,這種黑市調查行動,必先“出賣”同僚的資訊。
2月16日,央視新聞頻道報道了記者親身體驗購買個人資訊服務,揭秘個人資訊洩漏黑市狀況的新聞。
先來還原下主要情節:
1.經過同僚小王的授權,2月4日中午12點06分,記者把小王的手機号提供給了網名為“孤星淚”的賣家 ,要求查詢小王的身份資訊,對方的要價是220元。 2.下午2點56分,對方發來了一張截圖,上面有小王的照片、身份證号碼、戶籍所在住址、民族、所屬派出所等,經過核對,與小王的身份資訊完全一緻。随後,對方表示還可以查詢其他關聯資訊,包括出入境資訊、名下機動車資訊和違法犯罪記錄等。記者提出要查詢小王名下的車輛資訊,僅過了二十分鐘,對方就發來了資訊截圖,内容包括車輛的型号、車牌号、車架号、發動機号等,完全屬實,這一次的要價是50元。3.記者随後要求查詢小王的“淘寶”送貨位址,對方要價130元,網上付款兩個小時後,對方給記者發來了小王所有“淘寶”購物的送貨位址,包括畢業前的學校位址和送貨現在的實際住址,小王确認全部符合實情。 4.qq群裡出售的個人出行軌迹中,包括滴滴打車記錄,每一張出行記錄清單的要價是55元。記者向一名資訊販子提供了小王的手機号碼,兩個小時後,對方發來了一張滴滴打車清單,時間顯示為2016年11月份到2017年1月份,内容包括這三個月内小王每次打車的詳細記錄,從哪裡上車,從哪裡下車,上下車的時間精确到秒,包括取消的訂單也全部記錄在内,小王把這張截圖裡的出行記錄和自己手機裡的打車記錄進行了對照。
1500 元買下你的通話記錄和實時定位!安全專家:我知道誰賣了你 …… 5.記者向網名為“水中取火”的資訊販子支付了1500元,要求查詢小王的手機通話記錄。第二天,記者被告之通話記錄已經拿到,對方發來了一張截圖,上面是2016年9月到2017年2月份共6個月的通話記錄,在總計一千多個通話記錄中,詳細記錄着每次通話的來電與去電号碼,通話時間、通話時長以及每次通話的話費。1500 元買下你的通話記錄和實時定位!安全專家:我知道誰賣了你 1500 元買下你的通話記錄和實時定位!安全專家:我知道誰賣了你
以上引文資訊均引自央視網報道。最後,在該文中,記者還試了手機定位服務,也成功了。
從上述可知,身份資訊、打車資訊、淘寶資訊、通話記錄及定位資訊均一覽無遺。那麼,央視記者從該黑市獲得的這些資訊是如何被洩露的?
雷鋒網編輯與安全圈相關專業人士取得了聯系,請他們就央視上述報道中出現的截圖和材料進行了一些“不負責任”的推理與分析。
首先,擺上最重要的幾點猜測:
從相關截圖看,這是某有關權威部門的系統截圖,是以,你懂的。
可能途徑一:内鬼作案;
可能途徑二:黑産人員通過打車軟體漏洞擷取了背景資料。
通過撞庫等手段直接擷取了淘寶賬号登入。
可能途徑一:利用黑客手段使用營運商的接口;
可能途徑二:内鬼。
雷鋒網(公衆号:雷鋒網):1.手機定位是如何做到的?
匿名人士一:這是營運商基站資料定位,應該是營運商和不可說的相關部門的系統。
雷鋒網:2.也就是說,有人和内部人士串通嗎?除了這種方法,有沒有可能通過一些入侵手段實作?
匿名人士一:不排除這種可能,那麼多人都在賣,而且很穩定,是以内鬼的可能性較大,主要是裡面有明确的不可說的相關部門的系統截圖。
雷鋒網:3.意思是,話單、定位,包括打車,都是内部人士搞的資料嗎?
匿名人士一:是的。打車紀錄看去來像背景資料,淘寶那個看起來還像是社工庫搞定了淘寶賬号,因為登陸的是收貨位址管理界面截圖。
裡面有幾個問題,這麼密集的資料洩露肯定不完全是黑客入侵資料導緻的,政府監管側的問題很大,假如說戶籍在基層派出所可以查詢到,那麼手機号碼的定位、打車等資料那肯定不是這麼低級别可以查得到。國家肯定有要求并會對這些網際網路公司的資料進行監管,監管部門的問題比較大。
有幾種可能性:1.内鬼;2.有未被公開的打車軟體或其他的漏洞、接口被利用。此前,某營運商就被曝光通過漏洞可以查詢任意手機的通話記錄,也有過定位接口。
其實,很多東西和資料隻是明面上沒公開,大家不知道。
黑市有很多利益鍊條,其實幫查詢一個人的位址等資訊,對相關系統的人而言,就是很順手的事,并且基本不會被發現。
如果說比較有技術含量的地方,就是其中一些資料是通過黑客手段拿到的。但是,我覺得類似這種試試定位的,很難說一個人可以一直維持這樣一個接口或者漏洞不被發現。
央視這一報,估計又來一波打擊黑産了,估計又有一些人要跑路了。
--
最後,雷鋒網編輯要強調的是,央視網報道中顯示,央視記者已向警方報案,一切以警方調查結果為準。