編輯：這篇文章來自Phala可信網(wǎng)絡(luò)(ID: Phala _ Network)，作者：Marvin，Odaily Star經(jīng)許可轉(zhuǎn)載。

本文中的所有查詢到的敏感結(jié)果已經(jīng)打碼，保護(hù)當(dāng)事人隱私

本人作者已將所有查詢到的信息刪除清空

本文寫作較為草率，如有不準(zhǔn)確希望理解，希望對大家的個人保護(hù)警惕起到拋磚引玉的作用！

3月19日上午，有微博名為“安全_云舒”的用戶轉(zhuǎn)發(fā)微博時稱：“很多人的手機(jī)號碼泄露了，根據(jù)微博賬號就能查到手機(jī)號……已經(jīng)有人通過微博泄露查到我的手機(jī)號碼，來加我微信了?！?/p>

隨后，該網(wǎng)友在微博下的留言中進(jìn)一步表示，他通過技術(shù)查詢，發(fā)現(xiàn)不少人的手機(jī)號已被泄露，當(dāng)中涉及不少微博認(rèn)證的明星、官員、企業(yè)家?！皝砜偟氖謾C(jī)號也被泄露了，我昨晚查過?！保ā皝砜偂贝肝⒉〤EO 王高飛）

本文作者在19日下午親自體驗了一把泄露數(shù)據(jù)的灰產(chǎn)產(chǎn)品，已驗證密碼、個人敏感信息確實被暴露！雖然不確定是否是從微博暴露的，但是通過微博這一公開平臺，可以微博ID查出手機(jī)號。從而通過手機(jī)號關(guān)聯(lián)到更多密碼、個人身份信息。

我們總結(jié)了一些內(nèi)容，希望能讓大家對個人隱私保護(hù)及密碼管理產(chǎn)生警惕，也希望大家能按圖索驥，查出背后團(tuán)體的真兇。

概述

本次數(shù)據(jù)泄露據(jù)說是由微博而來，在小道消息的引導(dǎo)下，我們找到了購買隱私數(shù)據(jù)其中一個根據(jù)地：電報（Telegram），通過電報按圖索驥、購買服務(wù)，摸清了灰產(chǎn)的整個服務(wù)架構(gòu)。

交易流程概述

• 加入電報

• 找到售賣機(jī)器人

• 機(jī)器人分享報價和交易方式

• 選擇交易

• 機(jī)器人給出比特幣/ETH數(shù)字貨幣地址

• 打款后，機(jī)器人為電報賬號充值積分

• 利用積分查詢

該系統(tǒng)是“積分機(jī)制”，即你通過數(shù)字貨幣為該灰產(chǎn)充值，則電報賬號在灰產(chǎn)的賬戶中會多一些積分。使用積分可以查詢各種服務(wù)：

作者親測， 0.358 ETH = 260積分，10積分可以做一次普通查詢，則相當(dāng)于 0.0138 ETH一次，約等于10元一次

服務(wù)流程概述

• 選擇批量查詢→機(jī)器人批量輸出名單（每次100個左右）。包括：微博賬號、郵箱、密碼 等信息

• 選擇根據(jù)微博賬號查詢→給機(jī)器人輸入微博主頁的OID→機(jī)器人輸出結(jié)果。包括：綁定QQ、綁定手機(jī)、微博主頁地址

• 輸入綁定QQ，機(jī)器人輸出真實姓名、老密信息（密碼）、姓名、手機(jī)、郵箱、QQ關(guān)聯(lián)賬號、QQ密碼

• 輸入綁定手機(jī)，機(jī)器人輸出真實姓名、老密信息（密碼）、姓名、手機(jī)、郵箱、微博賬號、微博綁定手機(jī)

• 直接查詢真實姓名：機(jī)器人輸出老密信息(密碼)、身份證姓名、性別、其他信息、地址

• 直接查詢身份證號：機(jī)器人輸出身份證號和真實姓名

總結(jié)

這次的灰產(chǎn)產(chǎn)品有如下幾個特征：

1、可信性極強(qiáng)：整個流程中，歷史上被撞庫的密碼，通過身份證、真實姓名、郵箱、手機(jī)號、QQ號被關(guān)聯(lián)，因此準(zhǔn)確程度比以往的庫都要強(qiáng)大一些

2、工具鏈齊全，人人可被查：本次引爆點是通過微博公開的OID查詢到個人手機(jī)號和身份證，因此任何人都可以再通過手機(jī)號查詢到他人密碼，從而完成對任何人的資產(chǎn)攻擊！下文將介紹實例。

3、自動化強(qiáng)：在流程中，灰產(chǎn)作者很好的利用了以下三個工具完成了身份匿名——

• Telegram，匿名通訊

• Telegram的自制機(jī)器人，完成自動交易

• BTC/ETH等數(shù)字貨幣，且為每個用戶單獨生成地址，便于洗錢和反偵察

詳述

交易詳述

先在Telegram找到社工群

與電報機(jī)器人聊天

獲取通過數(shù)字貨幣給機(jī)器人充值的地址：希望對執(zhí)法分析有所幫助

充值成功

交易流程

貼吧/QQ/微博/LOL查綁（每次30-80分）

輸入手機(jī)/貼吧ID/微博ID/QQ/LOL 互相查詢對應(yīng)綁定信息。

此灰產(chǎn)工具宣稱自己是“全網(wǎng)獨家數(shù)據(jù)”，外面的查綁基本都是在機(jī)器人查詢的。請注意該查詢非實時綁定信息。

支持QQ查手機(jī)/手機(jī)查QQ，微博uid查手機(jī)/手機(jī)反查微博，貼吧賬號查手機(jī)/手機(jī)查貼吧賬號，LOL昵稱查對應(yīng)QQ、手機(jī)、姓名等。

微博ID就是微博用戶主頁后面的數(shù)字，有些用戶是個性域名，可以進(jìn)入主頁右鍵查看源碼，如下圖oid即為微博ID。

比如：查名人微博

1、我們先去李X樂老師微博，打開他的主頁，通過chrome右鍵打開“源碼”模式，獲取到李老師的OID：

2、根據(jù)李老師的OID，去查詢具體信息

李老師的手機(jī)號、QQ號已經(jīng)被查到了

3、拿到了手機(jī)號，就可以通過【精準(zhǔn)查詢】查詢密碼了。此處作者使用自己的手機(jī)號查詢：

可以看到，通過手機(jī)號查詢得知，我已經(jīng)暴露了自己的多個密碼、真實姓名！

獵魔查詢

獵魔查詢即列表模糊查詢，據(jù)該灰產(chǎn)宣稱是“來自公安網(wǎng)的一種業(yè)務(wù)”，現(xiàn)在在機(jī)器人也可以查詢了。

該功能旨在尋找知道姓名，性別及大概位置的人的身份證號碼?；耶a(chǎn)宣稱自己機(jī)器人已覆蓋全國50%以上優(yōu)質(zhì)人口數(shù)據(jù)（以社會知名人士測試綜合命中率已高達(dá)70%以上），

獵魔查詢分為三種查詢模式：模糊查詢，精準(zhǔn)查詢，占位符查詢

模糊查詢

查詢方式為輸入真實姓名，根據(jù)提示點擊按鈕進(jìn)行查詢。輸出結(jié)果后，可以選擇性別/省份，這兩個選項為必須項，不選擇無法查詢，也不會扣分。如果該省內(nèi)重名少于50結(jié)果，將直接顯示全部結(jié)果并扣費，如果命中人數(shù)過多，你需要繼續(xù)選擇年齡，月份。

精準(zhǔn)查詢

查詢方式為輸入真實姓名以及身份證內(nèi)任意連續(xù)的數(shù)字，機(jī)器人出現(xiàn)獵魔查詢按鈕。點擊按鈕進(jìn)行查詢（查到結(jié)果扣分，未查到前不扣）

通過精準(zhǔn)查詢，灰產(chǎn)可以根據(jù)你的其他信息（出入地等），鎖定個人身份，從而查出你的更多信息。

信息查詢（每次1-10分）

大部分信息在這都可以查到，結(jié)果包含【密碼查詢】、【同密碼】以及【貼吧綁定】，可以查詢快遞，開房，戶籍，地址，身份證，手機(jī)，郵箱，賬戶，密碼等等

• 身份證自動提示歸屬地，年齡等信息

• 手機(jī)號自動提示歸屬地&機(jī)主姓名

• 地址自動匹配高精度定位結(jié)果

• Hash自動破解成功率更高

• 去掉只有一條結(jié)果的信息

通過連續(xù)的Join（關(guān)聯(lián)），還可以查出來：

• QQ/手機(jī)查名

• 輸入手機(jī)/QQ號碼查詢號主姓名

• 群關(guān)系

隱私保護(hù)功能

這是最為搞笑的：一個售賣公民隱私數(shù)據(jù)的產(chǎn)品，居然還主打“隱私功能”??！

你花錢使用了屏蔽功能后，本功能會匿名存儲該關(guān)鍵字, 非刪除數(shù)據(jù)。屏蔽功能僅支持在本機(jī)器人中隱藏私人賬戶，屏蔽后任何人都無法查詢。屏蔽后仍會模擬正常查詢流程，其他人無法察覺已被屏蔽，正因如此，由于群關(guān)系隨處可查，故群關(guān)系數(shù)據(jù)不在屏蔽列表中。

總結(jié)

• 我們相信目前所有互聯(lián)網(wǎng)服務(wù)，基于目前中心化的架構(gòu)，出現(xiàn)數(shù)據(jù)泄露問題是必然的，是個概率性事件。

• 充耳不聞并不管用，你的賬號還在，不說明你的安全做的好，只能說對黑客還沒有價值——因為很多已經(jīng)暴露的信息永遠(yuǎn)暴露了，且可通過關(guān)聯(lián)技術(shù)指數(shù)級增強(qiáng)確定性！

• 廢話少說，大家都去改密碼吧！