「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图

00 导语

网络时代,只要你在使用网络上的任何产品:你的信息就是全透明的

本文可能会让你感到恐惧,但你先别恐惧

先认识它,了解它的根源,才能更好的预防这种事情发生

这篇文章本来应该在 22 年就写出来的,我知道写出来这些必然会动很多人的蛋糕,可总要有人站出来不是吗,所以最终选择如今访客最少的时候发布。

注:本文源自某位大佬的笔下,文章末尾放有相关的链接。

超星学习通数据库泄露

2022年6月20日,超星学习通数据库泄露并在社工群被非法兜售,包括用户姓名、手机号、学号、工号、性别、邮箱以及部分用户的密码,达1亿7273条。其中密码1076条。
密码加密方式为base64,可轻松转换为明文。
其中大概一千多万人是在职高校教师,剩下几千万人是已经毕业或者在读的高校学生,其中也包括在警校在内学生及教师。

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图1

上海国家警察数据库泄露

2022年7月6日,上海国家警察数据库泄露,包含10亿中国国民居民和报警记录的信息。包括姓名、住址、身份证号码、籍贯、手机号码、案件报警和警察出警信息、政治面目、职业、政务医疗记录、购物信息、兵役信息、违法记录等信息,通过分析已放出的两份数据样本来看,基本确定数据的真实性。

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图2

河南国家警察数据库泄露

2022年7月7日,上海国家警察数据库泄露,包含九千万公民信息。包括姓名、年龄、地址、身份证号码、手机号码等信息,通过分析已放出的4万条数据样本来看,可基本确定数据的真实性。

上海随申码数据泄露

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图3

微博 5 亿用户数据泄露

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图4

首先,数据泄露不止发生在国内,国外甚至更多

其次,数据泄露在很久以前已经发生并且十分普遍,QQ、微博的信息泄露已经发生许多次

只是这次数据泄露范围更广,在国内引起了足够多的注意

一年后的现在再看,其实这些事件并没有增强我们的安全意识


01 我们的信息到底泄漏了多少?

只要有一个手机号,就能查到关于你至少三成的信息,如果付出一定的费用可以得到更多信息:包括 QQ 号(部分附带以前用过的密码、所加入的 QQ 群)、微博号、身份证号、学历信息、身份证照片(大概是 14-20 年左右时的照片)、银行卡号、网购记录(含购买时间、物品名、收件人、用户名、地址)、别人在通讯录中给自己的备注…

听起来是不是很不可思议,但是这就是我们十几年来实行实名制所带来的副产品

自查,人肉自己都查到了什么

拿着我的手机号去人肉自己,到底能查出来多少信息

我把自己的手机号发给订单机器人,仅仅几秒就发来了消息:QQ、微博、贴吧、通讯录备注

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图5

支付完成之后,星号内容也变成了可见内容

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图6

紧接着就查到了我的购物信息(包含京东、淘宝)

敏感信息已做处理,图中星号内容则是需要付费才能查看

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图7

当我打开我的淘宝,时间及购物物品都对得上(好在我的购物收件人几乎不使用真名)

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图8

其中也有以一些来自京东的订单

到这里,我们还不能断定泄漏源头来自哪里:是京东 / 淘宝官方?还是卖家?亦或是快递?

获取身份证的价钱就要比之前的更高了,同时能查到的还有学习通的上学信息

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图9

几个月前,某频道公布了一个查询身份证大头照的接口
我测试了几次,应该是 5 年前身份证的照片

大头接口 json 版本(真实链接已做处理):
https://www.dra*****soul.cn/api.php?act=photo_json&idname=姓名&idcard=身份证号

也就是说只要你有一个人的姓名和身份证号,就能获取到这个人身份证上的电子版照片
即便是本人都没有身份证上照片的电子版

我们之中泄露最普遍的有:QQ 号(16 亿数据泄露)、微博(5 亿数据泄露)、学历信息含身份证号(近 2 亿超星数据库泄露)

而更多的数据正在暗网明码标价进行出售

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图10

简单的数据通过机器人就能自动化查询,涉及到复杂信息则需要联系人工操作,在可统计的数据中,这些渠道已经有超过 30 万用户关注,可见这条黑色产业链已经发展的较为完善了


02 挖掘信息泄露的源头

失控的APP权限

随便一个 APP 都想获取你的手机更多的权限,小到存储读写权限、读取通讯录… 大到绑定手机号,甚至身份证号实名认证、人脸认证

而在我们第一次打开这些 APP 并按下同意按钮后,这些信息就理所当然的交给他们使用,这些 APP 是否有完善的流程来保护我们的信息就不得而知了

贪婪无底线的人性

通过下面这些来自民航安检、火车站闸机、省常住人口库、旅店现场图… 的图片,可以看出信息泄露已经到了多么严峻的程度

手机定位
手机定位
人脸认证照片
人脸认证照片

这样的数据真的都是黑客盗取的吗?我更倾向于是社工 / 内部人员 / 相关技术人员有意泄露

在暗网中,他们收集数据所发出的最多的信息就是找一些拥有数据的内部人员合作交换利益,显然这样的效率是很高的,并且数据的真实性有效性更高

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图13

03 如何做好个人信息的防护

在当下的互联网环境下,想要做到一点数据泄露都没有几乎是不可能的。

获取你的全部信息的前提,其实只需要掌握你的其中一条信息就行

手机号作为使用最做的一条信息,所涉及的信息也是巨大的

通过手机号能获取的信息
通过手机号能获取的信息

你的手机号也可以通过其它途径反查

通过 QQ / 微信 / 微博 / 抖音 /… 可以查到你绑定的手机号,还可以查到在社交平台上与你互动的朋友
也可能是你留在车上的手机号、在外面无意间填写的手机号… 都有机会被不法分子利用 

也许有的人会觉得这些信息没什么价值,他们知道我的这些信息有什么用呢

诚然,去获取一个毫无关系的人的这些信息是很不值得的

可互联网这张网将我们所有人联系了起来
可能是你注册的一个账号、发表的一个评论、又或是卷入了某个事件…

就可能会被心思不正的人盯上,对你甚至你的家人朋友发起攻击

热门事件的当事人被人肉、被网暴这类的事件已发生过很多次

同样,犯罪团伙也会用这些信息来获得你的进一步信任,实行更完美的诈骗

所以为了自己,更为了家人朋友,你都应该尽量避免信息泄露

有意的混淆个人信息

说实话,信息泄露本来就是不可避免的,也不是我们能够阻止的,微博来总的数据也在 5 亿微博数据中被泄露,许多明星的身份证号和手机号也被公开在暗网

原则就是要弱化不同平台、不同方面信息之间的联系

比如:
将自己两个手机号的用途分开,一张专门同于国家 / 政府 / 学校之类更加相对安全的地方,另一张则用在各大社交网络平台

在不同平台避免使用相同 ID、相同头像,尽可能的不要使用同一个手机号绑定账号

收件人不要使用真名,并且偶尔要更换

收货地址不要具体到楼号门牌号,只要能送到就行:可以选择填写附近菜鸟驿站的位置,京东 / 顺丰则可以等打电话的时候再告知具体位置

现在大部分人除了微信 / QQ,抖音之类的短视频也会是每天都要打开不止一次的 APP
抖音也成了信息泄露的一大途径

暗网抖音信息查询业务
暗网抖音信息查询业务

所以,社交账号如果不是需要面向所有人来使用的,可以设置为私密账号,并关闭一些权限

设置为私密账号
设置为私密账号
关闭通讯录查找
关闭通讯录查找

对于社交平台的定位不要随意开启,并且尽可能保证每次使用权限都是经过你的允许的
开启模糊定位,并只允许这一次使用

「趣闻分享」我用一个手机号,查到了TA的所有个人信息
开启模糊定位

在社交平台发送的照片也会暴露很多信息,只需花费一定的时间,拍摄的时间地点就能推理出来
所以尽量考虑后再分享,可能某一张照片就为以后的某次事件埋下了种子

「趣闻分享」我用一个手机号,查到了TA的所有个人信息插图19

如果你有接触到别人信息的可能,请尽可能替他们保护好这些信息

无论是学校、还是工作单位统计信息,大部分的情况下为了省事,会让所有人共同填写一张表,每个人都能看到其他人填写的信息,如此大量的信息其实已经透明化了

所以,如果你作为负责人,是不是应该做点什么?


END

本文并不是要教你如何人肉自己,而是希望让你了解这些,更好的应对

现在这些信息对你可能没有什么威胁,但以后谁说得准呢?

——WhiteFan