12月12日,南方都市报的一篇文章《恐怖!南都记者700元就买到同事行踪包括乘机开房上网吧等11项记录》在朋友圈刷屏了,里面描述了一些恐怖的调查现象:几百块钱就可以买到某个人被泄露的全套个人信息,四大银行存款记录、手机实时定位、手机通话记录……都可以查到,甚至可以进行手机定位,“服务最到位”的是,还有第三方软件为这样的服务提供担保。
我们不禁想到,两个月前,去安全企业白帽汇公司采访时,白帽汇安全研究人员告诉编辑:“你想不想查一下自己被泄露的信息?”编辑一惊,这都有?!该安全研究人员表示,是的,以他们长期潜伏黑灰产群的经验来看,很多社工库都可以查到个人被泄露的信息。
于是,在看到这篇文章后,编辑火速与白帽汇的安全研究人员联系,确认该文的一些事实,并知道了一些“了不得”的事情。
1.700块钱买到全套资料有可能吗?黑产是有统一的数据库吗?
白帽汇安全团队:是的,完全有可能。但是,黑产是否有统一的数据库,这个不确定,黑产为了做全套资料,不排除会到处搜集资料,整合成一个比较齐全的库;
2.住宿、航班、银行开户、网吧上网各种记录一应俱全,这是不是意味着泄露的源头就是酒店、订票网站……?
白帽汇安全团队:这倒不一定。比如,你可能从很多网络渠道订过车票,是谁泄露的,真不好说。就算拿到泄露的数据库资源,也很难溯源。除非把这个原始数据库留了下来,才能可能让被泄露的厂商确认,这是他的数据库。但是,一般会而言,黑产拿到数据库后会进行脱敏、加工,这样就很难找到泄露源头。另一原因是,目前监管不得力,谁都敢做信息泄露这件事情,很多信息泄露的情况是——内部人员把数据拿出来卖。
3.报道里提到:“一个名为“分布式查询”的文档里,记录了该同事自2011年4月以来的旅馆住宿记录、常住人口记录、暂住人口记录和网吧上网记录,另一个“人员基础信息—×××”文档中则是火车记录、航班记录、银行开户核查记录、驾驶证记录、驾驶证违章记录、机动车登记记录等。”看到这些,感觉很震惊,在信息泄露上还有什么更让人震惊的案例吗?
白帽汇安全团队:我一点都不震惊。现在市面上确实有这些信息卖,很容易做到。而且,个人信息泄露,一定是有的,信息泄露发生在你进入互联网的一瞬间,只要你在互联网上填写了个人信息,如曾经订过机票、填写过地址、电话……不要怀疑,一定会有。
我感觉也没什么更恐怖了,第一次看到信息泄露后会很震惊,第二次就会习以为常,而且有些公司之间还会进行数据交易和买卖。
雷锋网还注意到,这篇报道提到“南都记者决定再换个同事的手机号码,查一下其手机定位情况,前述工作人员表示仅可查询联通号码的手机定位,查询时间为半小时,收费是600元。南都记者提供手机号码并付款半个多小时之后,对方发来了定位信息的图片,内含地图、经纬度信息(精确到小数点后六位),与记者同事所在的位置完全一致。”
这是如何发生的?一位匿名人士提醒编辑:“你有没有注意到,工作人员表示仅可查询联通号码的手机定位,这意味着是否是其中一家电信运营商的接口被黑产利用了?值得探究。”
在该报道中,还提到了社工库。白帽汇安全团队帮助编辑找到了其中一个社工库的可用网址,如图所示:
编辑尝试了一把,输入自己的 QQ 号后,果然看到了曾经用过的密码信息。另外,这个社工库页面还显示,可以提供别的“高级搜索”,比如,开房信息,但需要汇款成为会员。
最后,比较悲剧的是,在编辑尝试了输入身份证号查询后,发现白帽汇的安全研究人员发来提醒——千万不要输入身份证号,不然这个社工库会进一步绑定你的查询信息,编辑知道后心情如图所示。