ETH:揭秘微博灰产：一个QQ号就能扒光你的所有隐私数据

编者按：本文来自Phala可信网络，作者：Marvin，Odaily星球日报经授权转载。本文中的所有查询到的敏感结果已经打码，保护当事人隐私本人作者已将所有查询到的信息删除清空本文写作较为草率，如有不准确希望理解，希望对大家的个人保护警惕起到抛砖引玉的作用！3月19日上午，有微博名为“安全_云舒”的用户转发微博时称：“很多人的手机号码泄露了，根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码，来加我微信了。”随后，该网友在微博下的留言中进一步表示，他通过技术查询，发现不少人的手机号已被泄露，当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了，我昨晚查过。”本文作者在19日下午亲自体验了一把泄露数据的灰产产品，已验证密码、个人敏感信息确实被暴露！虽然不确定是否是从微博暴露的，但是通过微博这一公开平台，可以微博ID查出手机号。从而通过手机号关联到更多密码、个人身份信息。我们总结了一些内容，希望能让大家对个人隐私保护及密码管理产生警惕，也希望大家能按图索骥，查出背后团体的真凶。概述

分析师：比特币现货交易量跌至2021年初以来的最低水平:金色财经报道，加密交易员 Mikybull Crypto 分析称，比特币现货交易量的7天平均值已降至2021年初以来的最低水平。比特币 IV 也处于年度最低水平。他认为，这表明即将到来的巨大波动将使 BTC 飙升至新水平。但分析师警告称，BTC价格回撤至25,000美元以上是“有可能的”，对于比特币多头来说，28,300美元是一个压力线。[2023/8/1 16:10:02]

本次数据泄露据说是由微博而来，在小道消息的引导下，我们找到了购买隐私数据其中一个根据地：电报，通过电报按图索骥、购买服务，摸清了灰产的整个服务架构。交易流程概述

加入电报找到售卖机器人机器人分享报价和交易方式选择交易机器人给出比特币/ETH数字货币地址打款后，机器人为电报账号充值积分利用积分查询该系统是“积分机制”，即你通过数字货币为该灰产充值，则电报账号在灰产的账户中会多一些积分。使用积分可以查询各种服务：

美金融服务委员会主席：传统银行将从稳定币法案中受益:金色财经报道，美国众议院金融服务委员会主席Patrick McHenry在致美国银行家协会（ABA）的一封信中反驳了银行家对他帮助起草的稳定币立法的批评，McHenry指出，即使稳定币发行方根据该法案的条款获得联邦批准，他们也将受到与银行类似的监管，并且银行可以从立法中的其他条款中受益。

他写道：“你的信没有提及该法案中包含的有利于金融机构的政策”。McHenry指出，稳定币法案废除了证券交易委员会关于数字资产托管的指导，并澄清银行可以将存款代币化，银行应该能够在区块链生态系统中公平竞争，McHenry表示希望继续与ABA讨论该法案。[2023/7/27 16:01:11]

作者亲测，0.358ETH=260积分，10积分可以做一次普通查询，则相当于0.0138ETH一次，约等于10元一次服务流程概述

选择批量查询→机器人批量输出名单。包括：微博账号、邮箱、密码等信息选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括：绑定QQ、绑定手机、微博主页地址输入绑定QQ，机器人输出真实姓名、老密信息、姓名、手机、邮箱、QQ关联账号、QQ密码输入绑定手机，机器人输出真实姓名、老密信息、姓名、手机、邮箱、微博账号、微博绑定手机直接查询真实姓名：机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址直接查询身份证号：机器人输出身份证号和真实姓名总结

上市公司Ether Capital截止2023年3月31日，持有的数字资产总价值为1.055亿美元:金色财经报道，加拿大上市公司Ether Capital Corporation公布其截至2023年3月31日的三个月未经审计的中期综合财务业绩报告。公司2023年第一季度的收入为118万美元，而2022年第一季度为120万美元，下降了1%。公司在2023年第一季度产生了126万美元的运营费用，而2022年第一季度为80万美元，增长了59%。截至2023年3月31日，公司持有的数字资产总价值为1.055亿美元，而2022年12月31日为7310万美元，三个月内增长了44%。

此外，公司从PurposeInvestments获得咨询费收入，该收入与Purpose Investment的加密ETF管理的资产相关联。2023年第一季度，Purpose的Crypto AUM平均值远低于2022年第一季度。这导致咨询费从2022年第一季度的45万美元减少51%至2023年第一季度的22万美元。[2023/5/13 15:00:46]

Unstoppable Domains推出存储服务UD Parking，允许用户实现域名自托管:3月14日消息，Web3域名项目Unstoppable Domains为其Web3域名持有者推出UD Parking存储服务，允许用户将其Web3域名存储在专有的安全私人保险库中。如果用户愿意，还可以将其域名存储到自托管钱包。

据悉，这项新服务允许NFT持有人将其资产与其他加密资产分开，从而确保他们在自我托管钱包出现漏洞时不会受到损害。UD Parking服务费用分为2个阶段：低于100美元的域名上将额外花费4美元，100美元或更高的域名将额外花费10美元。[2023/3/14 13:03:10]

这次的灰产产品有如下几个特征：1、可信性极强：整个流程中，历史上被撞库的密码，通过身份证、真实姓名、邮箱、手机号、QQ号被关联，因此准确程度比以往的库都要强大一些2、工具链齐全，人人可被查：本次引爆点是通过微博公开的OID查询到个人手机号和身份证，因此任何人都可以再通过手机号查询到他人密码，从而完成对任何人的资产攻击！下文将介绍实例。3、自动化强：在流程中，灰产作者很好的利用了以下三个工具完成了身份匿名——Telegram，匿名通讯Telegram的自制机器人，完成自动交易BTC/ETH等数字货币，且为每个用户单独生成地址，便于和反侦察详述

住建部：引入区块链等技术建设智慧物业管理服务平台:金色财经报道，住建部办公厅等部门发布关于开展完整社区建设试点工作的通知，通知提及，推进智能化服务。引入物联网、云计算、大数据、区块链和人工智能等技术，建设智慧物业管理服务平台，促进线上线下服务融合发展。[2022/10/31 12:00:12]

交易详述

先在Telegram找到社工群

与电报机器人聊天

获取通过数字货币给机器人充值的地址：希望对执法分析有所帮助https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76充值成功

交易流程

贴吧/QQ/微博/LOL查绑输入手机/贴吧ID/微博ID/QQ/LOL互相查询对应绑定信息。此灰产工具宣称自己是“全网独家数据”，外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。支持QQ查手机/手机查QQ，微博uid查手机/手机反查微博，贴吧账号查手机/手机查贴吧账号，LOL昵称查对应QQ、手机、姓名等。微博ID就是微博用户主页后面的数字，有些用户是个性域名，可以进入主页右键查看源码，如下图oid即为微博ID。比如：查名人微博1、我们先去李X乐老师微博，打开他的主页，通过chrome右键打开“源码”模式，获取到李老师的OID：

2、根据李老师的OID，去查询具体信息李老师的手机号、QQ号已经被查到了

3、拿到了手机号，就可以通过查询密码了。此处作者使用自己的手机号查询：

可以看到，通过手机号查询得知，我已经暴露了自己的多个密码、真实姓名！猎魔查询猎魔查询即列表模糊查询，据该灰产宣称是“来自网的一种业务”，现在在机器人也可以查询了。该功能旨在寻找知道姓名，性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据，猎魔查询分为三种查询模式：模糊查询，精准查询，占位符查询模糊查询查询方式为输入真实姓名，根据提示点击按钮进行查询。输出结果后，可以选择性别/省份，这两个选项为必须项，不选择无法查询，也不会扣分。如果该省内重名少于50结果，将直接显示全部结果并扣费，如果命中人数过多，你需要继续选择年龄，月份。

精准查询查询方式为输入真实姓名以及身份证内任意连续的数字，机器人出现猎魔查询按钮。点击按钮进行查询通过精准查询，灰产可以根据你的其他信息，锁定个人身份，从而查出你的更多信息。信息查询大部分信息在这都可以查到，结果包含、以及，可以查询快递，开房，户籍，地址，身份证，手机，邮箱，账户，密码等等身份证自动提示归属地，年龄等信息手机号自动提示归属地&机主姓名地址自动匹配高精度定位结果Hash自动破解成功率更高去掉只有一条结果的信息通过连续的Join，还可以查出来：QQ/手机查名输入手机/QQ号码查询号主姓名群关系隐私保护功能这是最为搞笑的：一个售卖公民隐私数据的产品，居然还主打“隐私功能”！！

你花钱使用了屏蔽功能后，本功能会匿名存储该关键字,非删除数据。屏蔽功能仅支持在本机器人中隐藏私人账户，屏蔽后任何人都无法查询。屏蔽后仍会模拟正常查询流程，其他人无法察觉已被屏蔽，正因如此，由于群关系随处可查，故群关系数据不在屏蔽列表中。总结

我们相信目前所有互联网服务，基于目前中心化的架构，出现数据泄露问题是必然的，是个概率性事件。充耳不闻并不管用，你的账号还在，不说明你的安全做的好，只能说对黑客还没有价值——因为很多已经暴露的信息永远暴露了，且可通过关联技术指数级增强确定性！废话少说，大家都去改密码吧！

标签：ETH比特币数字货币CHEETHZILLA比特币价格今日行情数字货币可以交易吗Manchester City Fan Token

瑞波币热门资讯