微博称,此次数据泄露应该追溯到2018年底,当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
此外,微博表示一直有提供“根据通讯录手机号查询微博好友昵称”的服务,用户授权后可以使用。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。
但网络安全圈有很多大牛对微博安全总监罗诗尧的回应并不认可,有人测试了暗网上的数据,给出了流程。
Telegram上的数据灰产
Telegram是一款匿名聊天软件。如果在这款聊天软件上搜索“社工库”,你便能找到网传出售5亿微博用户数据的灰产商家。
据数位在“社工库”查找自己信息的人士反映,他们查到的个人资料几乎都属实,不仅手机号是真实的,甚至连微博密码都是真实的。
经过验证发现,“社工库”出售的不仅仅是微博相关数据,它还支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号。
此外,“社工库”甚至可以可以提供密码、快递、开房、户籍、地址、身份证 、邮箱、账户、个人征信报告等全方位的数据隐私查询服务。
这几乎意味着,如果你想要窥探某个人,而“社工库”又拥有他的数据,你只需要花一定数量的金钱,就能够得到你想要的信息——甚至是那些社会名流,也不能幸免。
交易流程
比如:查名人微博
1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:
2、根据李老师的OID,去查询具体信息
李老师的手机号、QQ号已经被查到了:
3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:
可以看到,通过手机号查询得知,我已经暴露了自己的多个密码、真实姓名!
此灰产工具宣称自己是“全网独家数据”,支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。
“社工库”里啥都有,比如与“定位”有关的位置信息:
