话说,这种黑市调查行动,必先 “出卖” 同事的信息。
2 月 16 日,央视新闻频道报道了记者亲身体验购买个人信息服务,揭秘个人信息泄漏黑市状况的新闻。
● ● ●
先来还原下主要情节:
1. 经过同事小王的授权,2 月 4 日中午 12 点 06 分,记者把小王的手机号提供给了网名为 “孤星泪” 的卖家 ,要求查询小王的身份信息,对方的要价是 220 元。
2. 下午 2 点 56 分,对方发来了一张截图,上面有小王的照片、身份证号码、户籍所在住址、民族、所属派出所等,经过核对,与小王的身份信息完全一致。随后,对方表示还可以查询其他关联信息,包括出入境信息、名下机动车信息和违法犯罪记录等。记者提出要查询小王名下的车辆信息,仅过了二十分钟,对方就发来了信息截图,内容包括车辆的型号、车牌号、车架号、发动机号等,完全属实,这一次的要价是 50 元。
3. 记者随后要求查询小王的 “淘宝” 送货地址,对方要价 130 元,网上付款两个小时后,对方给记者发来了小王所有 “淘宝” 购物的送货地址,包括毕业前的学校地址和送货现在的实际住址,小王确认全部符合实情。
4. QQ 群里出售的个人出行轨迹中,包括滴滴打车记录,每一张出行记录清单的要价是 55 元。记者向一名信息贩子提供了小王的手机号码,两个小时后,对方发来了一张滴滴打车清单,时间显示为 2016 年 11 月份到 2017 年 1 月份,内容包括这三个月内小王每次打车的详细记录,从哪里上车,从哪里下车,上下车的时间精确到秒,包括取消的订单也全部记录在内,小王把这张截图里的出行记录和自己手机里的打车记录进行了对照。
5. 记者向网名为 “水中取火” 的信息贩子支付了 1500 元,要求查询小王的手机通话记录。第二天,记者被告之通话记录已经拿到,对方发来了一张截图,上面是 2016 年 9 月到 2017 年 2 月份共 6 个月的通话记录,在总计一千多个通话记录中,详细记录着每次通话的来电与去电号码,通话时间、通话时长以及每次通话的话费。
以上引文信息均引自央视网报道。最后,在该文中,记者还试了手机定位服务,也成功了。
● ● ●
从上述可知,身份信息、打车信息、淘宝信息、通话记录及定位信息均一览无遗。那么,央视记者从该黑市获得的这些信息是如何被泄露的?
雷锋网编辑与安全圈相关专业人士取得了联系,请他们就央视上述报道中出现的截图和材料进行了一些 “不负责任” 的推理与分析。
首先,摆上最重要的几点猜测:
1. 身份信息如何获得的?
从相关截图看,这是某有关权威部门的系统截图,所以,你懂的。
2. 打车记录如何拿到?
可能途径一:内鬼作案;
可能途径二:黑产人员通过打车软件漏洞获取了后台数据。
3. 淘宝记录如何被泄露?
通过撞库等手段直接获取了淘宝账号登录。
4. 语音通信详单、手机定位信息如何被拿到?
可能途径一:利用黑客手段使用运营商的接口;
可能途径二:内鬼。
匿名人士一
雷锋网:1. 手机定位是如何做到的?
匿名人士一:这是运营商基站数据定位,应该是运营商和不可说的相关部门的系统。
雷锋网:2. 也就是说,有人和内部人士串通吗?除了这种方法,有没有可能通过一些入侵手段实现?
匿名人士一:不排除这种可能,那么多人都在卖,而且很稳定,所以内鬼的可能性较大,主要是里面有明确的不可说的相关部门的系统截图。
雷锋网:3. 意思是,话单、定位,包括打车,都是内部人士搞的数据吗?
匿名人士一:是的。打车纪录看去来像后台数据,淘宝那个看起来还像是社工库搞定了淘宝账号,因为登陆的是收货地址管理界面截图。
匿名人士二
里面有几个问题,这么密集的数据泄露肯定不完全是黑客入侵数据导致的,政府监管侧的问题很大,假如说户籍在基层派出所可以查询到,那么手机号码的定位、打车等数据那肯定不是这么低级别可以查得到。国家肯定有要求并会对这些互联网公司的数据进行监管,监管部门的问题比较大。
匿名人士三
有几种可能性:1. 内鬼;2. 有未被公开的打车软件或其他的漏洞、接口被利用。此前,某运营商就被曝光通过漏洞可以查询任意手机的通话记录,也有过定位接口。
其实,很多东西和数据只是明面上没公开,大家不知道。
黑市有很多利益链条,其实帮查询一个人的地址等信息,对相关系统的人而言,就是很顺手的事,并且基本不会被发现。
如果说比较有技术含量的地方,就是其中一些数据是通过黑客手段拿到的。但是,我觉得类似这种试试定位的,很难说一个人可以一直维持这样一个接口或者漏洞不被发现。
央视这一报,估计又来一波打击黑产了,估计又有一些人要跑路了。
--
最后,雷锋网编辑要强调的是,央视网报道中显示,央视记者已向警方报案,一切以警方调查结果为准。
