12月12日,南方都市報的一篇文章《恐怖!南都記者700元就買到同僚行蹤包括乘機開房上網吧等11項記錄》在朋友圈刷屏了,裡面描述了一些恐怖的調查現象:幾百塊錢就可以買到某個人被洩露的全套個人資訊,四大銀行存款記錄、手機實時定位、手機通話記錄……都可以查到,甚至可以進行手機定位,“服務最到位”的是,還有第三方軟體為這樣的服務提供擔保。
雷鋒網(公衆号:雷鋒網)編輯不禁想到,兩個月前,去安全企業白帽彙公司采訪時,白帽彙安全研究人員告訴編輯:“你想不想查一下自己被洩露的資訊?”編輯一驚,這都有?!該安全研究人員表示,是的,以他們長期潛伏黑灰産群的經驗來看,很多社工庫都可以查到個人被洩露的資訊。
于是,在看到這篇文章後,編輯火速與白帽彙的安全研究人員聯系,确認該文的一些事實,并知道了一些“了不得”的事情。
1.700塊錢買到全套資料有可能嗎?黑産是有統一的資料庫嗎?
白帽彙安全團隊:是的,完全有可能。但是,黑産是否有統一的資料庫,這個不确定,黑産為了做全套資料,不排除會到處搜集資料,整合成一個比較齊全的庫。
2.住宿、航班、銀行開戶、網吧上網各種記錄一應俱全,這是不是意味着洩露的源頭就是酒店、訂票網站……?
白帽彙安全團隊:這倒不一定。比如,你可能從很多網絡管道訂過車票,是誰洩露的,真不好說。就算拿到洩露的資料庫資源,也很難溯源。除非把這個原始資料庫留了下來,才能可能讓被洩露的廠商确認,這是他的資料庫。但是,一般會而言,黑産拿到資料庫後會進行脫敏、加工,這樣就很難找到洩露源頭。另一原因是,目前監管不得力,誰都敢做資訊洩露這件事情,很多資訊洩露的情況是——内部人員把資料拿出來賣。
3.報道裡提到:“一個名為“分布式查詢”的文檔裡,記錄了該同僚自2011年4月以來的旅館住宿記錄、常住人口記錄、暫住人口記錄和網吧上網記錄,另一個“人員基礎資訊—×××”文檔中則是火車記錄、航班記錄、銀行開戶核查記錄、駕駛證記錄、駕駛證違章記錄、機動車登記記錄等。”看到這些,感覺很震驚,在資訊洩露上還有什麼更讓人震驚的案例嗎?
白帽彙安全團隊:我一點都不震驚。現在市面上确實有這些資訊賣,很容易做到。而且,個人資訊洩露,一定是有的,資訊洩露發生在你進入網際網路的一瞬間,隻要你在網際網路上填寫了個人資訊,如曾經訂過機票、填寫過位址、電話……不要懷疑,一定會有。
我感覺也沒什麼更恐怖了,第一次看到資訊洩露後會很震驚,第二次就會習以為常,而且有些公司之間還會進行資料交易和買賣。
雷鋒網還注意到,這篇報道提到“南都記者決定再換個同僚的手機号碼,查一下其手機定位情況,前述從業人員表示僅可查詢聯通号碼的手機定位,查詢時間為半小時,收費是600元。南都記者提供手機号碼并付款半個多小時之後,對方發來了定位資訊的圖檔,内含地圖、經緯度資訊(精确到小數點後六位),與記者同僚所在的位置完全一緻。”
這是如何發生的?一位匿名人士提醒編輯:“你有沒有注意到,從業人員表示僅可查詢聯通号碼的手機定位,這意味着是否是其中一家電信營運商的接口被黑産利用了?值得探究。”
在該報道中,還提到了社工庫。白帽彙安全團隊幫助編輯找到了其中一個社工庫的可用網址,如圖所示:
編輯嘗試了一把,輸入自己的 qq 号後,果然看到了曾經用過的密碼資訊。另外,這個社工庫頁面還顯示,可以提供别的“進階搜尋”,比如,開房資訊,但需要彙款成為會員。
最後,比較悲劇的是,在編輯嘗試了輸入身份證号查詢後,發現白帽彙的安全研究人員發來提醒——千萬不要輸入身份證号,不然這個社工庫會進一步綁定你的查詢資訊,編輯知道後心情如圖所示。