00 导语
网络时代,只要你在使用网络上的任何产品:你的信息就是全透明的
本文可能会让你感到恐惧,但你先别恐惧
先认识它,了解它的根源,才能更好的预防这种事情发生
这篇文章本来应该在22年就写出来的,我知道写出来这些必然会动很多人的蛋糕,可总要有人站出来不是吗,所以最终选择如今访客最少的时候发布
超星学习通数据库泄露
2022年6月20日,超星学习通数据库泄露并在社工群被非法兜售,包括用户姓名、手机号、学号、工号、性别、邮箱以及部分用户的密码,达1亿7273条。其中密码1076条。
密码加密方式为base64,可轻松转换为明文。
其中大概一千多万人是在职高校教师,剩下几千万人是已经毕业或者在读的高校学生,其中也包括在警校在内学生及教师。
上海国家警察数据库泄露
2022年7月6日,上海国家警察数据库泄露,包含10亿中国国民居民和报警记录的信息。包括姓名、住址、身份证号码、籍贯、手机号码、案件报警和警察出警信息、政治面目、职业、政务医疗记录、购物信息、兵役信息、违法记录等信息,通过分析已放出的两份数据样本来看,基本确定数据的真实性。
河南国家警察数据库泄露
2022年7月7日,上海国家警察数据库泄露,包含九千万公民信息。包括姓名、年龄、地址、身份证号码、手机号码等信息,通过分析已放出的4万条数据样本来看,可基本确定数据的真实性。
上海随申码数据泄露
微博5亿用户数据泄露
首先,数据泄露不止发生在国内,国外甚至更多
其次,数据泄露在很久以前已经发生并且十分普遍,QQ、微博的信息泄露已经发生许多次
只是这次数据泄露范围更广,在国内引起了足够多的注意
一年后的现在再看,其实这些事件并没有增强我们的安全意识
01 我们的信息到底泄漏了多少?
只要有一个手机号,就能查到关于你至少三成的信息,如果付出一定的费用可以得到更多信息:包括QQ号(部分附带以前用过的密码、所加入的QQ群)、微博号、身份证号、学历信息、身份证照片(大概是14-20年左右时的照片)、银行卡号、网购记录(含购买时间、物品名、收件人、用户名、地址)、别人在通讯录中给自己的备注...
听起来是不是很不可思议,但是这就是我们十几年来实行实名制所带来的副产品
自查,人肉自己都查到了什么
拿着我的手机号去人肉自己,到底能查出来多少信息
我把自己的手机号发给订单机器人,仅仅几秒就发来了消息:QQ、微博、贴吧、通讯录备注
支付完成之后,星号内容也变成了可见内容
紧接着就查到了我的购物信息(包含京东、淘宝)
敏感信息已做处理,图中星号内容则是需要付费才能查看
当我打开我的淘宝,时间及购物物品都对得上(好在我的购物收件人几乎不使用真名)
其中也有以一些来自京东的订单
到这里,我们还不能断定泄漏源头来自哪里:是京东/淘宝官方?还是卖家?亦或是快递?
获取身份证的价钱就要比之前的更高了,同时能查到的还有学习通的上学信息
几个月前,某频道公布了一个查询身份证大头照的接口
我测试了几次,应该是5年前身份证的照片
大头接口 json 版本(真实链接已做处理):
https://www.dra*****soul.cn/api.php?act=photo_json&idname=姓名&idcard=身份证号
也就是说只要你有一个人的姓名和身份证号,就能获取到这个人身份证上的电子版照片
即便是本人都没有身份证上照片的电子版
我们之中泄露最普遍的有:QQ号(16亿数据泄露)、微博(5亿数据泄露)、学历信息含身份证号(近2亿超星数据库泄露)
而更多的数据正在暗网明码标价进行出售
简单的数据通过机器人就能自动化查询,涉及到复杂信息则需要联系人工操作,在可统计的数据中,这些渠道已经有超过30万用户关注,可见这条黑色产业链已经发展的较为完善了
02 挖掘信息泄露的源头
失控的APP权限
随便一个APP都想获取你的手机更多的权限,小到存储读写权限、读取通讯录...大到绑定手机号,甚至身份证号实名认证、人脸认证
而在我们第一次打开这些APP并按下同意
按钮后,这些信息就理所当然的交给他们使用,这些APP是否有完善的流程来保护我们的信息就不得而知了
贪婪无底线的人性
通过下面这些来自民航安检、火车站闸机、省常住人口库、旅店现场图...的图片,可以看出信息泄露已经到了多么严峻的程度
这样的数据真的都是黑客盗取的吗?我更倾向于是社工/内部人员/相关技术人员有意泄露
在暗网中,他们收集数据所发出的最多的信息就是找一些拥有数据的内部人员合作交换利益,显然这样的效率是很高的,并且数据的真实性有效性更高
03 如何做好个人信息的防护
在当下的互联网环境下,想要做到一点数据泄露都没有几乎是不可能的。
获取你的全部信息的前提,其实只需要掌握你的其中一条信息就行
手机号作为使用最做的一条信息,所涉及的信息也是巨大的
你的手机号也可以通过其它途径反查
通过QQ/微信/微博/抖音/...可以查到你绑定的手机号,还可以查到在社交平台上与你互动的朋友
也可能是你留在车上的手机号、在外面无意间填写的手机号...都有机会被不法分子利用
也许有的人会觉得这些信息没什么价值,他们知道我的这些信息有什么用呢
其实信息已经被泄露很多了,你没有被盯上只是因为你没有价值~
诚然,去获取一个毫无关系的人的这些信息是很不值得的
可互联网这张网将我们所有人联系了起来
可能是你注册的一个账号、发表的一个评论、又或是卷入了某个事件...
就可能会被心思不正的人盯上,对你甚至你的家人朋友发起攻击
热门事件的当事人被人肉、被网暴这类的事件已发生过很多次
同样,犯罪团伙也会用这些信息来获得你的进一步信任,实行更完美的诈骗
所以为了自己,更为了家人朋友,你都应该尽量避免信息泄露
有意的混淆个人信息
说实话,信息泄露本来就是不可避免的,也不是我们能够阻止的,微博来总的数据也在5亿微博数据中被泄露,许多明星的身份证号和手机号也被公开在暗网
我们能做的就是让真实信息泄露的更少
原则就是要弱化不同平台、不同方面信息之间的联系
比如:
将自己两个手机号的用途分开,一张专门同于国家/政府/学校之类更加相对安全的地方,另一张则用在各大社交网络平台
在不同平台避免使用相同ID、相同头像,尽可能的不要使用同一个手机号绑定账号
收件人不要使用真名,并且偶尔要更换
收货地址不要具体到楼号门牌号,只要能送到就行:可以选择填写附近菜鸟驿站的位置,京东/顺丰则可以等打电话的时候再告知具体位置
现在大部分人除了微信/QQ,抖音之类的短视频也会是每天都要打开不止一次的APP
抖音也成了信息泄露的一大途径
所以,社交账号如果不是需要面向所有人来使用的,可以设置为私密账号,并关闭一些权限
对于社交平台的定位不要随意开启,并且尽可能保证每次使用权限都是经过你的允许的
开启模糊定位,并只允许这一次使用
在社交平台发送的照片也会暴露很多信息,只需花费一定的时间,拍摄的时间地点就能推理出来
所以尽量考虑后再分享,可能某一张照片就为以后的某次事件埋下了种子
如果你有接触到别人信息的可能,请尽可能替他们保护好这些信息
无论是学校、还是工作单位统计信息,大部分的情况下为了省事,会让所有人共同填写一张表,每个人都能看到其他人填写的信息,如此大量的信息其实已经透明化了
所以,如果你作为负责人,是不是应该做点什么?
END
本文并不是要教你如何人肉自己,而是希望让你了解这些,更好的应对
现在这些信息对你可能没有什么威胁,但以后谁说得准呢?
以前的互联网:没人知道你是一条狗
现在的互联网:人人都知道你是狗
想得太简单了,只要你手机号是自己的实名,就算你有20张手机卡用作不同的用途,只需要一个手机号就能查出你的身份证,然后从身份证向你生活的各个方面辐射查找,直接底裤扒没。而且在这个环境下,你工作学习始终有需要填写你的真实信息的场景,并且你自己就算做的天衣无缝,你也不能确保你的亲戚朋友不会泄露,除非你是完全游离于这个社会之外。所以不用杞人忧天,因为当真的被卷入事件的时候,底裤扒没是迟早的事。
有用的信息!感谢分享,即使是在人人裸奔的时代,为自己的信息泄露设置一些障碍也是有必要的,哪怕做不到密不透风,但也聊胜于无
只要我没有价值,要我信息也没啥用
看的我无比心慌,都想自己查查自己了,可惜关键地方都打码了