在Telegram上通过交易,查到了自己微博绑定的主要信息telegram和shadowrocket,包括账号身份证号、密码、手机号等等,有的人的个人信息还包括使用过的多个老密码。
3月19日消息,微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”在其微博下,有不少网友留言表示自己也疑似遭遇了数据泄露。连微博“老大哥”“来去之间”(微博CEO,王高飞)也不幸中招。
经查证,该微博信息显示,此人为默安科技创始人兼CTO,原阿里集团安全研究实验室总监。默安科技方面证实称,“安全_云舒”确为默安科技CTO魏兴国,“云舒”是其在阿里巴巴的花名。
在“安全_云舒”的用户主页上,目前已经找不到上图微博内容,只留有昨晚其转发的一条微博表示:“btw,我只是说数据泄露,没说是脱裤哈。看来2019年是通过接口被人薅走了一些数据”。
更有用户表示,发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。
很快,微博针对微博数据泄露一事回应承认属实,目前已及时强化安全策略,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。
但是微博还称,“此次数据泄露应该追溯到2018年底,当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称苹果小火箭混淆设置,再加上通过其他渠道获取的信息一起对外出售。
其一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。
因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及其余隐私数据。”
微博安全总监罗诗尧表示:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”
值得注意的是,认证为微博安全总监的网友@罗诗尧也在评论中回复称,这应该是此前出现了数据“撞库”或“漏水”现象,“多谢关心,每隔段时间就有人在网上卖(数据),每次都会引起一波舆情,本不想回应,这条微博今后还会用得上。”
曾在2016年,微博即与脉脉就抓取用户数据等曾对簿公堂,当时,脉脉也被微博控告称通过用户手机通讯录来非法获取通讯录和新浪微博用户的对应关系。
此次数据泄露虽未能确定是否从微博端暴露,但是通过微博这一公开平台,可以微博ID查出手机号,通过手机号可以获取到更多密码、个人身份信息等内容。
Telegram是一款匿名聊天软件。如果在这款聊天软件上搜索「社工库」,你便能找到网传出售5亿微博用户数据的灰产商家。
据数位在「社工库」查找自己信息的人士反映,他们查到的个人资料几乎都属实,不仅手机号是真实的,甚至连微博密码都是真实的。
经过验证发现,「社工库」出售的不仅仅是微博相关数据,它还支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号。
此外,「社工库」甚至可以可以提供密码、快递、开房、户籍、地址、身份证 、邮箱、账户、个人征信报告等全方位的数据隐私查询服务。这几乎意味着,如果你想要窥探某个人,而「社工库」又拥有他的数据,你只需要花一定数量的金钱,就能够得到你想要的信息。——甚至是那些社会名流,也不能幸免。
根据教程,「社工库」以「积分机制」的形式贩卖服务。用户可以通过BTC或者以太坊为服务充值以获取积分,然后使用积分可以查询各种服务。当然,在「社工库」的话语体系里,这种购买行为被称之为「赞助」。
通过0.00678个比特币,或者0.358个以太坊,用户可以获260积分。充值积分越多,获得单个积分也就越便宜,例如0.01个比特币能够获得499积分,0.03比特币能够获得2303积分,0.05个比特币能够获得5756积分。此外,如果你能够为「社区库」贡献数据,你还能够获得奖励积分。
其中,10积分可以做一次普通查询,约等于10元一次;50积分(50元)可以查一个贴吧/QQ微博套餐服务;个人征信报告则卖到了1200元。
此灰产工具宣称自己是“全网独家数据”,外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。
支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。
微博ID就是微博用户主页后面的数字,有些用户是个性域名,可以进入主页右键查看源码,如下图oid即为微博ID。
1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:
3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:
由于灰产交易在今日引发了媒体的强烈关注,加入Telegram群购买服务的人也随之激增。目前尚不清楚,这件事究竟为数字货币行业导入了多少流量,但比特币和以太坊的价格在今日暴涨。其中比特币价格上涨了8.6%,至5800美元;以太坊的价格上涨了8.4%,至125美元。
此次微博数据泄露可能性有很多种,无论怎样,在数据泄露异常严重的今天,这种情况在安全圈内也是见怪不怪。
