每日最新頭條.有趣資訊

在Telegram臥底調查隱私交易 作者被人肉搜索、短信轟炸

因為發表了一篇揭露Telegram社工庫的文章,作者被曝光身份證照、遭遇短信轟炸。

·· 1 ··

使用本人信息調查社工庫

2020年3月19日,Phala Network創始人兼CEO佟林發布調查文章《隱私一覽無余!微博洩露事件臥底調查報告》,揭露了黑灰產在Telegram上經營的社工庫。在此社工庫中,通過微博OID(對象標識符)可查詢账號綁定的手機號,通過手機號可查詢姓名、身份證號等信息。

“這個社工庫數據準確度高,可自動完成交易。”佟林強調。

所謂社工庫,是指社會工程學數據庫,存儲了大量的個人信息,如姓名、身份證號、各種平台的账號、密碼等,是提供“人肉”搜索者和信息商販的斂財工具。

之所以會發布上述文章,與暗網的一則交易信息有關。

據報導,3月4日,有暗網用戶發布一則名為“5.38億微博用戶綁定手機號數據,其中1.72億有账號基本信息”的交易貼。該貼引起網絡安全圈的關注。隨後,微博回應稱數據洩露發生於2018年底,不涉及身份證和密碼,不影響服務。

暗網用戶發布的交易貼。

佟林表示,經過調查,並不能確認微博密碼洩露,但可以確認的是,通過微博OID可以查到账號綁定的手機號,“微博用戶確實面臨‘裸奔’的危險。”他強調。

在調查中,佟林以自己的手機號為樣本,在社工庫查詢對應的姓名、郵箱、密碼等信息,均為其本人真實信息。發表文章時,他的真實姓名、微博鏈接未做打碼處理。

因為這些信息,文章發布後,佟林被“人肉”公示了。

·· 2 ··

遭遇短信轟炸,被迫關機

“我的手機號、真實姓名、身份證正反面,均被散布在近三萬人的Telegram群組中。”佟林說,第一時間,朋友在群組中發現其身份證被置頂和刷屏。

群組中散布的身份證照片。

此外,佟林遭遇短信轟炸,“大概被轟炸了幾百條短信,幾乎每天都有。”從短信截圖來看,深夜零時許,他收到許多驗證碼短信。如今,其手機仍處於被迫關機的狀態。

深夜發來的騷擾短信。

不僅如此,Telegram上甚至開設“佟林粉絲會”聊天群組,成員不時發表辱罵言論,群智群策商量“迫害”方法。

作為一名隱私保護領域的工作者,佟林說,“從事這個領域的都知道社工庫,大家也知道(在網上)是裸奔的。但絕大多數從業者不會挑明去宣傳(揭露)這件事,因為會影響自己的安全。”

之所以實施調查、公開調查內容,佟林解釋說,是因為當時盛傳微博密碼被洩露,“我們覺得這個問題覆蓋面很嚴重。”

遭遇“人肉”搜索、短信轟炸,能找到幕後黑手嗎?佟林表示,找到幕後黑手非常艱難。

他解釋說,目前從事“查檔”(從社工庫查信息)等灰產業務的人,已經從國內進化到境外通訊工具Telegram。“除非像韓國近期的“N號房”時間,抓住群主,由群主暴露群內成員的身份,否則,很難找到群內成員的真身。”

此外,通過群內聊天信息,雖然可發現這些黑灰產從業者會使用國內通訊工具、交流社區的账號,但這些账號綁定的是他人身份,是被操縱的“小號”,也很難追查到真身。

身處網絡時代,在大數據的背景下,網上“衝浪”更加透明。作為普通人,如何盡可能地減少“人肉”危害?

佟林建議說,盡量減少使用同一個網名。因為黑灰產會將账號當成索引,搜索、關聯其他平台。

其次,盡量少使用同一個密碼或密碼關鍵詞;輸入密碼前切換至信任的輸入平台;注冊多個郵箱,使用不同郵箱注冊其他平台账號,切斷各個平台之間的聯繫等。

文/尤一煒

獲得更多的PTT最新消息
按讚加入粉絲團