话说,这种黑市调查行动,必先“出卖”同事的信息。
2月16日,央视新闻频道报道了记者亲身体验购买个人信息服务,揭秘个人信息泄漏黑市状况的新闻。
先来还原下主要情节:
1.经过同事小王的授权,2月4日中午12点06分,记者把小王的手机号提供给了网名为“孤星泪”的卖家 ,要求查询小王的身份信息,对方的要价是220元。
2.下午2点56分,对方发来了一张截图,上面有小王的照片、身份证号码、户籍所在住址、民族、所属派出所等,经过核对,与小王的身份信息完全一致。随后,对方表示还可以查询其他关联信息,包括出入境信息、名下机动车信息和违法犯罪记录等。记者提出要查询小王名下的车辆信息,仅过了二十分钟,对方就发来了信息截图,内容包括车辆的型号、车牌号、车架号、发动机号等,完全属实,这一次的要价是50元。
3.记者随后要求查询小王的“淘宝”送货地址,对方要价130元,网上付款两个小时后,对方给记者发来了小王所有“淘宝”购物的送货地址,包括毕业前的学校地址和送货现在的实际住址,小王确认全部符合实情。
4.QQ群里出售的个人出行轨迹中,包括滴滴打车记录,每一张出行记录清单的要价是55元。记者向一名信息贩子提供了小王的手机号码,两个小时后,对方发来了一张滴滴打车清单,时间显示为2016年11月份到2017年1月份,内容包括这三个月内小王每次打车的详细记录,从哪里上车,从哪里下车,上下车的时间精确到秒,包括取消的订单也全部记录在内,小王把这张截图里的出行记录和自己手机里的打车记录进行了对照。
……
5.记者向网名为“水中取火”的信息贩子支付了1500元,要求查询小王的手机通话记录。第二天,记者被告之通话记录已经拿到,对方发来了一张截图,上面是2016年9月到2017年2月份共6个月的通话记录,在总计一千多个通话记录中,详细记录着每次通话的来电与去电号码,通话时间、通话时长以及每次通话的话费。
以上引文信息均引自央视网报道。最后,在该文中,记者还试了手机定位服务,也成功了。
从上述可知,身份信息、打车信息、淘宝信息、通话记录及定位信息均一览无遗。那么,央视记者从该黑市获得的这些信息是如何被泄露的?
雷锋网编辑与安全圈相关专业人士取得了联系,请他们就央视上述报道中出现的截图和材料进行了一些“不负责任”的推理与分析。
首先,摆上最重要的几点猜测:
从相关截图看,这是某有关权威部门的系统截图,所以,你懂的。
可能途径一:内鬼作案;
可能途径二:黑产人员通过打车软件漏洞获取了后台数据。
通过撞库等手段直接获取了淘宝账号登录。
可能途径一:利用黑客手段使用运营商的接口;
可能途径二:内鬼。
雷锋网:1.手机定位是如何做到的?
匿名人士一:这是运营商基站数据定位,应该是运营商和不可说的相关部门的系统。
雷锋网:2.也就是说,有人和内部人士串通吗?除了这种方法,有没有可能通过一些入侵手段实现?
匿名人士一:不排除这种可能,那么多人都在卖,而且很稳定,所以内鬼的可能性较大,主要是里面有明确的不可说的相关部门的系统截图。
雷锋网:3.意思是,话单、定位,包括打车,都是内部人士搞的数据吗?
匿名人士一:是的。打车纪录看去来像后台数据,淘宝那个看起来还像是社工库搞定了淘宝账号,因为登陆的是收货地址管理界面截图。
里面有几个问题,这么密集的数据泄露肯定不完全是黑客入侵数据导致的,政府监管侧的问题很大,假如说户籍在基层派出所可以查询到,那么手机号码的定位、打车等数据那肯定不是这么低级别可以查得到。国家肯定有要求并会对这些互联网公司的数据进行监管,监管部门的问题比较大。
有几种可能性:1.内鬼;2.有未被公开的打车软件或其他的漏洞、接口被利用。此前,某运营商就被曝光通过漏洞可以查询任意手机的通话记录,也有过定位接口。
其实,很多东西和数据只是明面上没公开,大家不知道。
黑市有很多利益链条,其实帮查询一个人的地址等信息,对相关系统的人而言,就是很顺手的事,并且基本不会被发现。
如果说比较有技术含量的地方,就是其中一些数据是通过黑客手段拿到的。但是,我觉得类似这种试试定位的,很难说一个人可以一直维持这样一个接口或者漏洞不被发现。
央视这一报,估计又来一波打击黑产了,估计又有一些人要跑路了。
--
最后,雷锋网编辑要强调的是,央视网报道中显示,央视记者已向警方报案,一切以警方调查结果为准。