ETH:金色荐读 | 微博数据泄露背后：用价值10元的加密货币即可“围观”隐私

编者按：

1. 本文中的所有查询到的敏感结果已经打码，保护当事人隐私。

 2. 本人作者已将所有查询到的信息删除清空。

 3. 本文写作较为草率，如有不准确希望理解，希望对大家的个人保护警惕起到抛砖引玉的作用！

3月19日上午，有微博名为“安全_云舒”的用户转发微博时称：“很多人的手机号码泄露了，根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码，来加我微信了。”

随后，该网友在微博下的留言中进一步表示，他通过技术查询，发现不少人的手机号已被泄露，当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了，我昨晚查过。”（“来总”代指微博CEO王高飞）

本文作者在19日下午亲自体验了一把泄露数据的灰产产品，已验证密码、个人敏感信息确实被暴露！虽然不确定是否是从微博暴露的，但是通过微博这一公开平台，可以微博ID查出手机号。从而通过手机号关联到更多密码、个人身份信息。

我们总结了一些内容，希望能让大家对个人隐私保护及密码管理产生警惕，也希望大家能按图索骥，查出背后团体的真凶。

金色财经挖矿数据播报：BTC今日全网算力上涨2.60%:金色财经报道，据蜘蛛矿池数据显示：

BTC全网算力158.191EH/s，挖矿难度21.45T，目前区块高度673798，理论收益0.00000640/T/天。

ETH全网算力433.671TH/s，挖矿难度5499.89T，目前区块高度12001655，理论收益0.00565298/100MH/天。

BSV全网算力0.557EH/s，挖矿难度0.08T，目前区块高度677617，理论收益0.00161679/T/天。

BCH全网算力2.192EH/s，挖矿难度0.23，目前区块高度677995，理论收益0.00041051/T/天。[2021/3/9 18:27:43]

概述

本次数据泄露据说是由微博而来，在消息的引导下，我们找到了购买隐私数据其中一个根据地：电报（Telegram），通过电报按图索骥、购买服务，摸清了灰产的整个服务架构。

交易流程概述

1.加入电报

2.找到售卖机器人

3.机器人分享报价和交易方式

4.选择交易

金色晚报 | 4月30日晚间重要动态一览:12:00-21:00关键词：ETH2.0、日本金融厅、BitMEX、硅谷投资巨头

1. 最高检探索引入区块链技术推进“智慧未检”建设。

2. 今日恐慌与贪婪指数为44，市场恐慌情绪大幅缓解。

3. 日本金融厅认定JVCEA及STO协会为金融商品交易行业协会。

4. 瑞士协会CMTA发布加密资产托管通用标准。

5. V神：转向PoS后，ETH2.0理论最大年产量约为每年200万。

6. BitMEX首席执行官：美联储最新议息决议可能导致BTC价格飙升。

7. 以太坊2.0多客户端测试网Schlesi挖出首个测试区块。

8. 由韩国三大通信公司等组成的协会将于5月推出基于区块链的电子认证应用。

9. 国家发改委印发江西经济试验区方案，以区块链等技术为支撑营造良好营商环境。

10. 硅谷投资巨头a16z第二只加密基金筹资5.15亿美元，较初始目标高6500万美元。[2020/4/30]

5.机器人给出比特币/ETH数字货币地址

6.打款后，机器人为电报账号充值积分

7.利用积分查询

该系统是“积分机制”，即你通过数字货币为该灰产充值，则电报账号在灰产的账户中会多一些积分。使用积分可以查询各种服务：

金色午报 | 1月18日午间重要动态一览:7:00-12:00关键词：深圳、上海市、BCH、澳本聪

1. 深圳市税务局副局长：未来将上线基于区块链的纳税证明等创新项目；

2. Block.one CEO BB 澄清Coindesk不实新闻；

3. 衡水市市长吴晓华：运用区块链建设智慧医疗、智慧旅游等29个智慧城市项目；

4. 上海市人民检察院检察长：加强对涉“区块链”犯罪研判和打击；

5. 区块链增值税退税APP将使外国游客在泰国消费增加10%；

6. 外媒：加密货币市场市值未来几周或将突破3000亿美元；

7. BCH持续上涨突破400美元关口，日内涨幅超14%；

8. 兰州市《政府工作报告》提出积极推广区块链等新技术；

9. 律师：澳本聪目前尚未拥有80亿美元比特币的私钥。[2020/1/18]

作者亲测， 0.358  ETH = 260积分，10积分可以做一次普通查询，则相当于 0.0138 ETH一次，约等于10元一次

 服务流程概述

1. 选择批量查询→机器人批量输出名单（每次100个左右）。包括：微博账号、邮箱、密码 等信息

分析 | 金色盘面：DASH强势反弹 领涨主流币:金色盘面综合分析： DASH是近几日表现最抢眼的十亿美元俱乐部成员，2小时K线图走出上升通道，目前面临上轨压力，建议投资者注意控制风险。[2018/9/10]

2. 选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括：绑定QQ、绑定手机、微博主页地址

输入绑定QQ，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、QQ关联账号、QQ密码

输入绑定手机，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、微博账号、微博绑定手机

3. 直接查询真实姓名：机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址

4. 直接查询身份证号：机器人输出身份证号和真实姓名

总结

这次的灰产产品有如下几个特征：

1.可信性极强：整个流程中，历史上被撞库的密码，通过身份证、真实姓名、邮箱、手机号、QQ号被关联，因此准确程度比以往的库都要强大一些

金色财经现场报道，Niko：欧洲人对新的事物接受能力较慢:在2018年世界数字资产峰会（WDAS）暨FBG年会上，大会邀请来自欧洲各地的企业项目前来针对区块链在欧洲的现状进行探讨。来自Aeternity的Niko表示，欧洲人都偏向于保守，对新的事物接受程度较慢，区块链技术在其中发展还需要经历一段时间，才能逐渐被大众所认知。[2018/5/3]

2.人人危机：本次引爆点是通过微博公开的OID查询到个人手机号和身份证，因此任何人都可以再通过手机号查询到他人密码，从而完成对任何人的资产攻击！下文将介绍实例。

3.自动化强：在流程中，灰产作者很好的利用了以下三个工具完成了身份匿名:

Telegram，匿名通讯

Telegram的自制机器人，完成自动交易

BTC/ETH等数字货币，且为每个用户单独生成地址，便于和反侦察

详述

交易详述

先在Telegram找到社工群，与电报机器人聊天。

获取通过数字货币给机器人充值的地址：https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76

充值成功

交易流程

贴吧/QQ/微博/LOL查绑（每次30-80分）

输入手机/贴吧ID/微博ID/QQ/LOL 互相查询对应绑定信息。

此灰产工具宣称自己是“全网独家数据”，外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。

支持QQ查手机/手机查QQ，微博uid查手机/手机反查微博，贴吧账号查手机/手机查贴吧账号，LOL昵称查对应QQ、手机、姓名等。

微博ID就是微博用户主页后面的数字，有些用户是个性域名，可以进入主页右键查看源码，如下图oid即为微博ID。

举例：查名人微博

1.我们先去李X乐老师那里，右键打开“源码”模式，获取到李老师的OID：

2.根据李老师的OID，去查询具体信息

3.拿到了手机号，就可以通过[精准查询]查询密码了。此处作者使用自己的手机号查询：

可以看到，通过手机号查询，我已经暴露了自己的多个密码、真实姓名！

猎魔查询

猎魔查询即列表模糊查询，是来自网的一种业务，现在在机器人也可以查询了。

该功能旨在寻找知道姓名，性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据（以社会知名人士测试综合命中率已高达70%以上），

猎魔查询分为三种查询模式：模糊查询，精准查询，占位符查询

模糊查询

查询方式为输入真实姓名，根据提示点击按钮进行查询。输出结果后，可以选择性别/省份，这两个选项为必须项，不选择无法查询，也不会扣分。如果该省内重名少于50结果，将直接显示全部结果并扣费，如果命中人数过多，你需要继续选择年龄，月份。

精准查询

查询方式为输入真实姓名以及身份证内任意连续的数字，机器人出现猎魔查询按钮。点击按钮进行查询（查到结果扣分，未查到前不扣）

通过精准查询，灰产可以根据你的其他信息（出入地等），锁定个人身份，从而查出你的更多信息。

信息查询（每次1-10分）

大部分信息在这都可以查到，结果包含[密码查询]、[同密码]以及[贴吧绑定]，可以查询快递，开房，户籍，地址，身份证，手机，邮箱，账户，密码等等

1.身份证自动提示归属地，年龄等信息

2.手机号自动提示归属地&机主姓名

3.地址自动匹配高精度定位结果

4.Hash自动破解成功率更高

5.去掉只有一条结果的信息

通过连续的Join（关联），还可以查出来：

1.QQ/手机查名

2.输入手机/QQ号码查询号主姓名

3.群关系

最搞笑的“隐私保护”功能

这是最为搞笑的：一个售卖公民隐私数据的产品，居然还主打“隐私功能”！！

你花钱使用了屏蔽功能后，本功能会匿名存储该关键字, 非删除数据。屏蔽功能仅支持在本机器人中隐藏私人账户，屏蔽后任何人都无法查询。屏蔽后仍会模拟正常查询流程，其他人无法察觉已被屏蔽，正因如此，由于群关系随处可查，故群关系数据不在屏蔽列表中。

写在最后

我们相信目前所有互联网服务，基于目前中心化的架构，出现数据泄露问题是必然的，是个概率性事件。

充耳不闻并不管用，你的账号还在，不说明你的安全做的好，只能说对黑客还没有价值——因为很多已经暴露的信息永远暴露了，且可以通过关联技术指数级增强确定性！

废话少说，大家都去改密码吧。

本文作者：Phala Network CEO 佟林

标签：区块链ETHBSPNBS区块链域名成交ETHHEDGEBSPT币nbs币最新消息

PEPE币热门资讯