V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
codz
V2EX  ›  微博

微博 5 亿数据被泄露了解的人进来讨论讨论

  •  1
     
  •   codz · 2020-03-21 10:26:22 +08:00 · 22686 次点击
    这是一个创建于 1044 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1 这个 TG 的社工机器人为什么到现在还没有被封掉?
    2 以太币和比特币交易真的就完全安全?
    3 新浪的安全这块是不是有漏洞?合法授权然后被抓取的那种,类似 facebook 经历。
    79 条回复    2021-03-22 13:16:43 +08:00
    d5
        1
    d5  
       2020-03-21 10:31:03 +08:00   ❤️ 4
    1.这个 bot 曾上 cctv
    2.相对安全,拿以太坊举例,bot 通过生成 eth 钱包地址,让用户转账捐赠,通过以太坊浏览器接口查询该地址的余额情况,实现起来很简单。出金的时候,通过转账到中心化交易所混淆,最后达到匿名转出的目的
    3.泄露情况超乎想象,网上什么都有
    cabing
        2
    cabing  
       2020-03-21 10:32:14 +08:00   ❤️ 3
    @d5 感觉上网都是在裸奔。不管干啥 ,老祖宗说的好:慎言慎行。
    d5
        3
    d5  
       2020-03-21 10:42:26 +08:00   ❤️ 2
    @cabing 是的是的,老祖宗说的对,谨言慎行,不要随意开口水炮,真实交流不做亏心操作就行了。不然稍微懂点技术的人有意扒你,基本跑不掉。
    uqf0663
        4
    uqf0663  
       2020-03-21 10:51:26 +08:00
    还有 社工机器人? 叫啥?我去添加查查我的泄漏了没
    7654
        5
    7654  
       2020-03-21 10:52:28 +08:00
    什么鬼,有牌牌的虫子?
    locoz
        6
    locoz  
       2020-03-21 10:54:02 +08:00 via Android   ❤️ 3
    1、因为管不着 tg,境外 app
    2、相对于支付宝之类实名的东西当然安全非常多啊,随便就能新建一个账号用来收款。而且数字货币同样有做洗币的,有前面那一点的加持,效果更爆炸。
    3、几乎所有厂商都被搞过,只是有没有被爆出来而已,间隔几年被放出一堆数据的情况比比皆是。所以密码不要多次使用、出事情了赶紧改密码,可以的话绑的手机号也最好是个注册用的非实名号,提前预防。
    tmado
        7
    tmado  
       2020-03-21 11:26:34 +08:00 via iPhone
    查了下,之前养成一年换一号的习惯还是可以的
    KIzuN1
        8
    KIzuN1  
       2020-03-21 11:28:26 +08:00
    韭菜肉韭菜根本不会管,甚至还能创收,肉辶就不好说了
    wxcszh
        9
    wxcszh  
       2020-03-21 11:29:28 +08:00
    无语了,昨天喊我对象去改密码,他说 就算被搞也会是先弄那些有名的人,不会去弄他的,他这么默默无闻,不会有人盗号的。。。mmp
    aabbcc112233
        10
    aabbcc112233  
       2020-03-21 11:30:50 +08:00 via Android
    慌张的应该是那些大 V 和明星了,咱们小老百姓就算了吧。微博名誉扫地。
    kernelpanic
        11
    kernelpanic  
       2020-03-21 11:47:18 +08:00
    不止 Facebook。。twitter,telegram 都被通讯录漏洞攻击过
    chanchan
        12
    chanchan  
       2020-03-21 11:55:35 +08:00   ❤️ 6
    所以之前大家的账号并没有被买赞,大家的账号真的是被盗了而已,新浪清白了 /doge
    iiusky
        13
    iiusky  
       2020-03-21 11:59:06 +08:00 via Android
    你在微博说这个事情会被封号哦,因为你说了对微博不利的消息🤣😂
    snw
        14
    snw  
       2020-03-21 12:03:53 +08:00 via Android
    微博漏洞太正常了,前段时间又被自动大量加关注。这问题都多少年了,大概祖传代码没法救。
    swulling
        15
    swulling  
       2020-03-21 12:10:17 +08:00   ❤️ 8
    > 1 这个 TG 的社工机器人为什么到现在还没有被封掉?
    因为管不到,而且机器人没有任何成本,要多少有多少。哪怕被举报了,随时可以替换

    > 2 以太币和比特币交易真的就完全安全?
    世界上没有完全安全,但是混淆太容易,要解决此事的成本高到没有国家 or 组织会为了这个事情去做。
    目前查询价格转换为人民币大约 10 块钱一次,还是很便宜的,对有追踪特定目标的需求来说。

    > 3 新浪的安全这块是不是有漏洞?合法授权然后被抓取的那种,类似 facebook 经历。

    新浪的联系人匹配接口被人大规模利用了,方法很简单,就是喂给新浪一个随机手机号,看他匹配出的微博 ID 是那个。通过大规模穷举这个接口,就得到了微博 ID 和手机号的对应关系。
    而 TG 提供的其他信息,应该是之前别的社工库交叉查询的结果,本次新浪只泄漏了全部 ID 和手机号的对应关系。
    WillZhangGZ
        16
    WillZhangGZ  
       2020-03-21 12:18:38 +08:00 via Android   ❤️ 2
    歐盟: GDPR 罰款到手 加州:CCPA 罰款到手
    littiefish
        17
    littiefish  
       2020-03-21 12:21:04 +08:00 via iPhone
    @locoz 听说过四件套,八件套没?
    littiefish
        18
    littiefish  
       2020-03-21 12:22:46 +08:00 via iPhone
    @aabbcc112233 你一个小老百姓几毛。几亿个,这钱就多了。都这么想,没有一片雪花是无辜的
    est
        19
    est  
       2020-03-21 12:25:54 +08:00 via Android
    中国
    est
        20
    est  
       2020-03-21 12:26:31 +08:00 via Android   ❤️ 2
    很多中国人有个毛病就是自己不想看到的东西就希望封掉让别人也看不到
    justlgx
        21
    justlgx  
       2020-03-21 12:30:42 +08:00
    自从微博莫名其妙把我的号封了,必须要人脸识别+实名验证才能解封之后,我就没用过微博了。

    我的微博帐号是我某个邮箱,密码不和别的重复,微博里也没有我什么生活痕迹,所以我还不怎么担心。
    wangkq
        22
    wangkq  
       2020-03-21 13:07:02 +08:00 via Android
    @iiusky 那不是正好,反正信息泄露了,注销太慢了🐶
    Agnie
        23
    Agnie  
       2020-03-21 13:15:19 +08:00
    我的是 GV 号随便泄露
    tdzs2006
        24
    tdzs2006  
       2020-03-21 13:22:46 +08:00 via Android   ❤️ 1
    @Agnie 单纯请问一下哈,国内账号绑定 gv 号,这样不就让国内账号和谷歌号联系起来了吗。。。我觉得国内账号和国外账号相互独立比较好。。。
    Agnie
        25
    Agnie  
       2020-03-21 13:27:39 +08:00   ❤️ 2
    @tdzs2006 因为 GV 号也是小号.😉
    TypeError
        26
    TypeError  
       2020-03-21 13:27:44 +08:00
    TypeError
        27
    TypeError  
       2020-03-21 13:28:46 +08:00
    网络流传的截图 不知道是不是真的来去之间
    Agnie
        28
    Agnie  
       2020-03-21 13:31:33 +08:00
    @TypeError 准确的说,拿二手资料来看目前只说是手机号的呢. 我记得有人还发了这些图片
    tdzs2006
        29
    tdzs2006  
       2020-03-21 13:33:45 +08:00 via Android
    @TypeError 那些微博大 V 就很难受呀。。。
    locoz
        30
    locoz  
       2020-03-21 14:05:12 +08:00 via Android
    @littiefish #17 能防一点是一点嘛🤣
    OrangeM21
        31
    OrangeM21  
       2020-03-21 14:31:23 +08:00   ❤️ 2
    夹去之间说了这么多,就是没有一句道歉?
    laydown
        32
    laydown  
       2020-03-21 14:44:12 +08:00
    哈哈,国内服务都挺傻逼的。
    violetlai
        33
    violetlai  
       2020-03-21 14:46:29 +08:00
    还好不玩微博
    love
        34
    love  
       2020-03-21 14:54:02 +08:00
    又不是带密码,意义不大
    jin7
        35
    jin7  
       2020-03-21 15:12:08 +08:00
    微博注册的姓名和身份证全都泄露了吗?????????
    是不是真的 还是只泄露了手机号 其他***的是假的
    kernelpanic
        36
    kernelpanic  
       2020-03-21 15:17:11 +08:00
    @love 意义不大?所有明星网红的手机号都泄露了,这算是国内最严重的信息泄露事件了!
    love
        37
    love  
       2020-03-21 15:22:15 +08:00 via Android
    @kernelpanic 然后呢,你拿到这个手机号想干啥
    zchzch1014
        38
    zchzch1014  
       2020-03-21 15:30:23 +08:00
    @jin7 #35 只有手机号
    Telegram
        39
    Telegram  
       2020-03-21 16:21:18 +08:00
    @OrangeM21 #31 就是,照他的意思来说,就是密码没泄露,问题不大,我们不道歉,反正拿去也没用。
    txx
        40
    txx  
       2020-03-21 16:36:31 +08:00   ❤️ 1
    这事情是这样的,黑产们有一个手机号对应的各种社工库,然后微博有个功能,注册微博账号绑定通讯录,获取好友的功能,这个 API 被拉出来套在了这个社工库上。
    Kahnn
        41
    Kahnn  
       2020-03-21 16:40:03 +08:00   ❤️ 3
    拿到手机号可以干很多事啊,比如哪天微博上你正跟人撕逼,然后对方查到你手机号,再结合其他社工库数据,基本上你的邮箱、身份证号、开房数据、QQ 号、QQ 群关系全都有可能查到
    hanqian
        42
    hanqian  
       2020-03-21 16:47:08 +08:00
    这种数据多到一定程度,只要不是一手的,就很难说清楚来源了,包括现在市场上卖的也肯定都是整理过的,很难确定责任归属了
    Chaning
        43
    Chaning  
       2020-03-21 17:24:11 +08:00
    监控车欠件,还讨论啥
    sobigfish
        44
    sobigfish  
       2020-03-21 18:14:00 +08:00
    结果到今天微博仍不能改手机号(邮箱地址) 大概是直接拿来当主键了
    monkeydev
        45
    monkeydev  
       2020-03-21 18:25:26 +08:00
    @txx 吓总,最近在忙啥
    QUIOA
        46
    QUIOA  
       2020-03-21 19:02:18 +08:00 via Android
    @sobigfish 注销还要手持身份证:)
    lqmrt
        47
    lqmrt  
       2020-03-21 20:49:28 +08:00 via iPhone   ❤️ 1
    看了一下 tg 群里的反应,泄漏的信息都是好几年前的,还有部分人压根就没泄漏啥,暂时没发现某些大 v 被扒出来讨论。现在挺害怕当时自己注册了挺多自媒体账号还是手持身份证验证那些😭
    darluc
        48
    darluc  
       2020-03-21 21:24:24 +08:00
    说大了这就是不负责任的卖国行为
    pandasoda
        49
    pandasoda  
       2020-03-21 22:18:22 +08:00
    @sobigfish 修改手机号比较难 但是可以通过人工改
    vocaloidchina
        50
    vocaloidchina  
       2020-03-21 22:45:15 +08:00   ❤️ 17
    1.在网上不要怼人
    2.
    ( 1 )如果要怼人请新建一块 vhd
    ( 2 )使用 bitlocker
    ( 3 )在里面安装 Windows10 最新版并且打好补丁
    ( 4 )使用至少两重 SSR 代理出去
    ( 5 )用 Tor 设置前面两重代理为前置代理
    ( 6 )注册邮箱使用 10 分钟邮箱,注册手机号使用临时手机号(+86 也是有的)
    ( 7 )使用随机字符生成器生成一个用户名和密码
    ( 8 )发布的怼人内容使用谷歌翻译翻译过去在翻译回来
    ( 9 )静候 30min 再点击发送
    JJustWe
        51
    JJustWe  
       2020-03-21 22:45:41 +08:00
    好奇我没有实名认证过,为啥真实姓名也被脱裤了。。。
    Zheming
        52
    Zheming  
       2020-03-21 22:52:07 +08:00 via iPhone   ❤️ 1
    这个库的数据可以说是能见到的里面相当全的了。亲测查到了最多三年以内的新数据。只能说无能为力,诚惶诚恐
    jarnanchen
        53
    jarnanchen  
       2020-03-22 00:39:39 +08:00
    数据应该说非常全了
    基本上常使用互联网服务(不限于微博)的朋友,个人信息都是裸奔状态
    alphatoad
        54
    alphatoad  
       2020-03-22 03:35:21 +08:00
    我怀疑那个社工库有中国联通的数据,有一个地址在我印象范围内只给过联通
    tuobatian
        55
    tuobatian  
       2020-03-22 06:16:12 +08:00
    TG 那个机器人我试了下,确定了。
    根据微博昵称可以得到真是姓名,身份证号,地址,手机号码,密码。
    大家改密码吧
    cnyang
        56
    cnyang  
       2020-03-22 07:23:32 +08:00
    这种东西都能卖钱,看来我真不是经商的料,唉
    christin
        57
    christin  
       2020-03-22 08:26:31 +08:00 via iPhone
    我用免费的 1 次都能查出来明文手机号 这个号是在三年以内注册的 以后要定期扔号了
    PhyllisLin
        58
    PhyllisLin  
       2020-03-22 08:48:25 +08:00 via Android
    @christin 怎么免费查?
    zanrenXu
        59
    zanrenXu  
       2020-03-22 09:20:58 +08:00
    @tuobatian 免费查一次吗?我输进去没啥反应😄
    Windelight
        60
    Windelight  
       2020-03-22 09:26:05 +08:00 via Android
    其实只要有人愿意做,所有 app 里,包括 QQ 微信微博等等,这种带有“从手机号匹配好友”功能的 app,都可以穷举出所有手机号和其帐号之对应关系。虽然三家运营商将近半百的号段对应了 50 亿条规则,但是其中很多都还是无效的,踢出各种规则,再加一个三家的特定地区中间四位也特定,只要有人想要,还就不是一个难事。
    Telegram
        61
    Telegram  
       2020-03-22 09:52:27 +08:00
    @PhyllisLin #58
    @zanrenXu #59
    点开那个机器人,随便发个东西,他会让你加群后再查,你加完群,就可以使用了。
    直接发需要查的手机号,或者对方微博 oid 号,就会回复你查到的东西。
    一般没充值的一天可以查 5-6 次的样子吧,具体没数
    bigyezi
        62
    bigyezi  
       2020-03-22 09:57:15 +08:00 via Android
    @Telegram 请教一下,哪里可以找到这个 bot 的 tg 链接,我想摸一摸自己的屁股
    Telegram
        63
    Telegram  
       2020-03-22 10:04:36 +08:00
    bigyezi
        64
    bigyezi  
       2020-03-22 10:11:10 +08:00 via Android
    @Telegram 感谢
    snw
        65
    snw  
       2020-03-22 10:14:50 +08:00 via Android
    @TypeError
    这个洗地负分。
    拿到的不是微博昵称,而是微博账号,意味着可以根据历史微博精准投放广告、诈骗信息、恐吓信息,比手机号随意投放的价值高几个数量级。
    MelodyCat
        66
    MelodyCat  
       2020-03-22 10:17:57 +08:00 via Android
    不以为意的去查一下,qq 号输完不过瘾再查下微博,绝对震惊(怕了怕了
    labulaka521
        67
    labulaka521  
       2020-03-22 11:07:03 +08:00 via Android
    震惊!我绝对改掉我所有的密码😰😰😰
    labulaka521
        68
    labulaka521  
       2020-03-22 11:07:10 +08:00 via Android
    @labulaka521 决定
    lmmortal
        69
    lmmortal  
       2020-03-22 11:19:37 +08:00 via iPhone
    用了楼上的 bot,查出来过去用过的三个密码 幸亏我改密码比较勤快,不过真实姓名手机号什么的还是暴露了
    shuqin2333
        70
    shuqin2333  
       2020-03-22 15:14:21 +08:00
    真是讽刺
    shuqin2333
        71
    shuqin2333  
       2020-03-22 15:15:21 +08:00
    微博安全中心发微博:
    hhyvs111
        72
    hhyvs111  
       2020-03-22 15:17:16 +08:00
    用了一下这个社工,感觉个人隐私已经暴露无遗了,如果碰到想搞你的人简直就是裸体状态。平时嘴上说着隐私不重要,真的发现自己隐私泄露了还是很慌的。
    shuqin2333
        73
    shuqin2333  
       2020-03-22 15:17:46 +08:00   ❤️ 1
    有关“微博用户信息被出售事件”的说明

    近日有报道称,微博用户信息在暗网上被出售,涉及信息包括手机号、密码等。对此,站方说明如下:
    1.自 2011 年以来,微博一直提供查询通讯录好友微博昵称的服务,用户授权后可以使用该服务。但用户仅能查询到相关账号昵称,也可以随时取消授权。
    2.站方发现,此前黑客通过手机号比对服务获得多个平台的用户信息,例如通讯录好友微博昵称、QQ 号、邮箱等,并抓取微博用户个人主页上的公开数据,以“5.38 亿微博用户绑定手机号数据,其中 1.72 亿有账号基本信息”的名义进行售卖。对此,站方已加强安全策略,并将详细情况上报给司法机关。
    3.微博不存储用户明文密码,而是采取单向加密存储,用户密码并不会泄露。但是,当前安全形势严峻,依然有部分用户使用和其他平台相同账号密码,可能导致其微博账号面临被盗的风险。站方将不断强化安全策略,完善账号安全设置服务,以帮助用户提高账号安全等级,我们同时呼吁用户加强防范意识,保护好个人账号。

    然后能在 telegram 上 查看微博安全中心绑定的手机号码
    xratzh
        74
    xratzh  
       2020-03-22 15:20:25 +08:00 via Android
    好奇我的微博没问题,妈的怎么查到我 QQ 的……
    mizuku
        75
    mizuku  
       2020-03-22 15:46:03 +08:00
    查出了我自己,大学和邮箱,电话,这些一起暴露过的应该只在招聘网站上,那些信息都是公开的没办法
    peterpei
        76
    peterpei  
       2020-03-22 16:17:27 +08:00 via Android
    不是,他怎么能根据 qq 查位置的😥
    改密码吧
    Zheming
        77
    Zheming  
       2020-03-23 01:53:40 +08:00 via iPhone
    @Agnie gv 号能绑?好多地方都不接受 gv 这种 voip 的号码,我绑微博报错。
    Ayersneo
        78
    Ayersneo  
       2020-03-26 00:01:52 +08:00
    查出来的是刚开始接触互联网用的密码和 QQ 号,微博也是一个小号,还好还好
    papapapap
        79
    papapapap  
       2021-03-22 13:16:43 +08:00
    数据库 还有吗 找不到了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   3578 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 62ms · UTC 01:54 · PVG 09:54 · LAX 17:54 · JFK 20:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.