telegram黑产机器人是什么
3月19日晚间,业内大佬反响,称:
在Telegram上通过生意业务,查到了自己微博绑定的重要信息,包括账号身份证号、密码、手机号等等,有的人的个人信息还包括使用过的多个老密码。
微博数据突遭泄漏
3月19日消息,微博名为“安全_云舒”的用户转发微博时称:“许多人的手机号码泄漏了,根据微博账号就能查得手机号……已经有人通过微博泄漏查到我的手机号码,来加我微信了。”在其微博下,有不少网友留言表现自己也疑似遭遇了数据泄漏。
连微博“老年老”“往复之间”(微博CEO,王高飞)也不幸中招。
经查证,该微博信息表现,此人为默安科技首创人兼CTO,原阿里团体安全研究试验室总监。默安科技方面证明称,“安全_云舒”确为默安科技CTO魏兴国,“云舒”是其在阿里巴巴的别名。
在“安全_云舒”的用户主页上,现在已经找不到上图微博内容,只留有昨晚其转发的一条微博表现:“btw,我只是说数据泄漏,没说是脱裤哈。看来2019年是通过接口被人薅走了一些数据”。
更有效户表现,发现5.38亿条微博用户信息在暗网出售,此中,1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号公布的微博数、粉丝数、关注数、性别、地理位置等。
针对“数据泄漏”事件,微博方面回应媒体称内部正在理解环境。
很快,微博针对微博数据泄漏一事回答允认属实,现在已实时强化安全策略,并表现这起数据泄漏不涉及身份证、密码,对微博服务没有影响。
但是微博还称,“此次数据泄漏应该追溯到2018年底,其时,有效户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
其不停有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。
因此这起数据泄漏不涉及身份证、密码,对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及别的隐私数据。”
微博安全总监罗诗尧表现:“走漏的手机号是19年通过通讯录上传接口被暴力匹配的,别的公开信息都是网上抓来的。”
值得留意的是,认证为微博安全总监的网友@罗诗尧也在评述中回答称,这应该是此前出现了数据“撞库”或“漏水”征象,“多谢体贴,每隔段时间就有人在网上卖(数据),每次都市引起一波舆情,本不想回应,这条微博以后还会用得上。”
至于“撞库”或“漏水”,就不多说了。
曾在2016年,微博即与脉脉就抓取用户数据等曾对簿公堂,其时,脉脉也被微博控诉称通过用户手机通讯录来非法获取通讯录和新浪微博用户的对应关系。
此次数据泄漏虽未能确定是否从微博端袒露,但是通过微博这一公开平台,可以微博ID查脱手机号,通过手机号可以获取到更多密码、个人身份信息等内容。
Telegram上的数据灰产
Telegram是一款匿名聊天软件。假如在这款聊天软件上搜索「社工库」,你便能找到网传出售5亿微博用户数据的灰产商家。
据数位在「社工库」查找自己信息的人士反应,他们查到的个人资料大概都属实,不但手机号是真实的,甚至连微博密码都是真实的。
经过验证发现,「社工库」出售的不但仅是微博相关数据,它还支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号。
别的,「社工库」甚至可以可以提供密码、快递、开房、户籍、地点、!身份证 、邮箱、账户、个人征信陈诉等全方位的数据隐私查询服务。这大概意味着,假如你想要窥伺某个人,而「社工库」又拥有他的数据,你只需要花肯定数目的金钱,就可以或许得到你想要的信息。——甚至是那些社会名士,也不能幸免。
数字钱币充当支付本领
查询这些数据所需要耗费的金钱是几多呢?他们又是怎样收钱的呢?
根据教程,「社工库」以「积分机制」的情势贩卖服务。用户可以通过BTC要么以太坊为服务充值以获取积分,然后使用积分可以查询种种服务。固然,在「社工库」的话语体系里,这种购置行为被称之为「赞助」。
通过0.00678个比特币,要么0.358个以太坊,用户可以获260积分。充值积分越多,得到单个积分也就越便宜,比方0.01个比特币可以或许得到499积分,0.03比特币可以或许得到2303积分,0.05个比特币可以或许得到5756积分。别的,假如你可以或许为「社区库」贡献数据,你还可以或许得到嘉奖积分。
此中,10积分可以做一次普通查询,约即是10元一次;50积分(50元)可以查一个贴吧/QQ微博套餐服务;个人征信陈诉则卖到了1200元。
生意业务流程
贴吧/QQ/微博/LOL查绑(每次30-80分)
输入手机/贴吧ID/微博ID/QQ/LOL 相互查询对应绑定信息。此灰产工具宣称自己是“全网独家数据”,表面的查绑基本都是在机器人查询的。请留意该查询非及时绑定信息。支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。微博ID就是微博用户主页背面的数字,有些用户是本性域名,可以进入主页右键察看源码,如下图oid即为微博ID。
好比:查名流微博
1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:
2、根据李老师的OID,去查询详细信息李老师的手机号、QQ号已经被查到了
3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:
可以看到,通过手机号查询得知,我已经袒露了自己的多个密码、真实姓名!
由于灰产生意业务在本日引发了媒体的猛烈关注,参加Telegram群购置服务的人也随之激增。现在尚不清晰,这件事毕竟为数字钱币行业导入了几多流量,但比特币和以太坊的价格在本日暴涨。此中比特币价格上涨了8.6%,至5800美元;以太坊的价格上涨了8.4%,至125美元。
总结
此次微博数据泄漏大概性有许多种,无论怎样,在数据泄漏不同寻常严峻的今日,这种环境在安全圈内也是见怪不怪。
空话不多说,赶快去改密码吧!
最后,物以类聚,人以群分,打仗更良好的人也可以让你成为同样的人,欢迎关注官方公号:灰产圈
灰产圈:造就你的发散性思路 解密互联网骗局、实战揭秘互联网灰!产案例、网赚偏门项目剖析、分享网络营销引流方案。深挖黑幕、曝光各种套路。
不知道玩微博的童鞋有没有碰到过这样的事情:你的微博账号总是会出现许多新的关注列表,而这些并不是你操作的,是不是以为很恐惊?
一位搞安全的童鞋曾经告诉雷锋网编辑,这很大概是由于有人知道我的身份信息,吓得我赶快去改了密码。
近来几天,微博被爆超 5 亿用户信息在暗网上被出售的消息也是闹的沸沸扬扬,毕竟怎么回事呢?
微博被爆用户数据在暗网上被出售,回应称是旧闻?
事情还要从几个安全大佬的微博提及。
据南边日报报道,克日,多个安全监测平台监控到,有暗网用户于 3 月 4 日公布了一则名为“5.38 亿微博用户绑定手机号数据,此中 1.72 亿有账号基本信息”的生意业务信息,售价 1388 美元。此中绑定手机数据包括用户 ID 和手机号,账号基本信息包括昵称、头像、粉丝数、地点地等。
【 图片出处: 南边都市报 全部者:南边都市报 】
该用户在商品描述中称,上述信息“均为 2019 年中左右抓取”,并给出 400 条绑定手机号的测试数据,以及1500 条账号基本信息的测试数据。
18 日晚,默安科技首创人兼 CTO 魏兴国(安全-云舒)发博提及此事。
很快,微博 CEO 王高飞(往复之间)回答称“是 2014 年从前网易那次撞库的”。
3 月 19 日上午,默安科技 CTO 魏兴国(安全-云舒)公布了一条微博(现在已删除)称,通过技能查询发现不少人手机号已经泄漏。网友也不停留言称自己疑似遭遇了数据泄漏,且泄漏信息多为手机号。
“我的微博是 2019 年 7 月份注册的,也可以查到绑定的手机号。应该确实是被脱库而非接口罗列,由于绝大多数绑定号码都可以查到,泄漏的数据量很巨大有几亿条。”
甚至有人发出了疑似微博个人数据的打包售卖截图,标价为 1799 元。
很快,微博针对微博数据泄漏一事回答允认属实,现在已实时强化安全策略,并表现这起数据泄漏不涉及身份证、密码,对微博服务没有影响。
微博还称,“此次数据泄漏应该追溯到 2018 年底,其时,有效户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。其不停有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有‘根据用户昵称查手机号’的服务。因此
这起数据泄漏不涉及身份证、密码,对微博服务没有影响。
此次非法调用微博接口匹配出的信息即为微博账号昵称,不涉及别的隐私数据。”(这条微博 也已经删除)
随后,微博安全总监罗诗尧也回应表现:“走漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,别的公开信息都是网上抓来的。”
同时,罗诗尧还表现:“19 年被刷的部分数据,内部突发现不同寻常后立刻堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时不停也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及得手机号。”
尽管,微博已经就此事给出了回应,但网友们以为微博泄漏用户数据这件事大概是常期事实,并非旧闻,微博也不能仅在官方微博上如此“不咸不淡”的给出回应,应该就此事给出公道的解决措施。
值得留意的是,提出问题的魏兴国删除了多条相关微博(或被限流已不可见),出来与网友 battle 的微博安全总监罗诗尧删除了相关留言。
数据泄漏实在常期存在
固然,搞安全的童鞋也没闲着,他们切身去试验了。
“微博的数据泄漏,很大概率大概是黑灰产的打击者使用接口的业务功能思量不全面或有缺陷的环境,在当地通过脚本或主动化工具去大量天生。”
据 Phala 可信网络称,他们购置了隐私数据此中一个根据地:电报(Telegram,一款匿名聊天软件),通过电报按图索骥、购置服务,摸清了灰产的整个服务架构。
他们首先在 Telegram 找到社工群,即“社工库”,然后与电报机器人聊天获取数据信息的方法途径,最后输入手机/贴吧 ID /微博 ID / QQ / LOL 相互!查询对应绑定信息就可以查到你想查的信息,只要有钱。
【 图片出处: Phala可信网络 全部者:Phala可信网络 】
重要的是,这个软件出售的不但仅是微博相关数据,还支持 QQ 查手机/手机查 QQ ,微博 uid 查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号。
别的,还可以提供密码、快递、开房、户籍、地点、身份证 、邮!箱、账户、个人征信陈诉等全方位的数据隐私查询服务。
根据教程,社工库以积分机制的情势贩卖服务。用户可以通过 BTC 要么以太坊为服务充值以获取积分,然后使用积分可以查询种种服务。充值积分越多,得到单个积分也就越便宜,比方 0.01 个比特币可以或许得到 499 积分,0.03 比特币可以或许得到 2303 积分,0.05 个比特币可以或许得到 5756 积分。
10 积分可以做一次普通查询,约即是 10 元一次;50 积分( 50 元)可以查一个贴吧/ QQ 微博套餐服务;个人征信陈诉则卖到了 1200 元。
以是,实在在暗网上,数据交易很正常,我们的个人信息很大概随时在被交易。诚然,出现数据泄漏是一定事件且不停在发生。但防备此类事件发生,首先是各平台不可推卸的责任。
数据泄漏危急怎样解?
实在,大数据年代,数据泄漏也不是什么奇怪事,难的是我们怎样尽大概淘汰这种环境的发生,那么,各大平台应该怎么做呢?
启明星数据安全专家曾给出三条提议:对于平台而言,首先要
美满数据安全防护本领
,敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄漏后怎样溯源追责,企业都应该接纳相应的数据安全产品和技能本领来解决这些问题。
其次,要
创建可落地的行业性数据安全规定和企业数据安全管理制度;
最后,要
进步安全意识,增长对内部数据泄漏风险的防护。
而对于普通用户,雷锋网
(订阅号:雷锋网)
提议大家:
雷锋网雷锋网雷锋网
参考出处: https://mp.weixin.qq.com/s/3pvdWMuDmMrQJT1AEFcPWA
https://mp.weixin.qq.com/s/B_RqPoO8cM9Ye3asjqeHrw https://www.toutiao.com/a6805795717215420935/
雷锋网原创文章,未经授权禁止转载。详情见 转载须知 。
3月24日,工信部网站公布消息,3月21日,因新浪微博被爆出用户查询接口被恶意调用导致App数据泄漏问题,工信部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其进一步接纳有用棤施,消除数据安全隐患。
一位金融行业的安全工程师告诉汹涌新消息(www.thepaper.cn)记者,在暗网公布“5.38亿微博用户绑定手机号数据”的卖家最后在线时间是3月24日,现在该商品的成交量是0单,无人下单。“卖家已经警惕,在暗网上,商品页面标注了‘当前生意业务处于修正中,临时不能生意业务’。”该安全工程师说。
对于工信部的约谈,新浪微博方面表现,公司高度重视数据安全和个人信息葆护,针对此次事件已接纳了升级接口安全策略等棤施,后续将根据工信部要求,落实企业数据安全主体责任,切实做好用户个人信息葆护工作。
暗网无人生意业务,Telegram查询火热
“微博数据泄漏”的讨论劈头是,3月19日,微博网友@安全_云舒转发一条微博(已删除)称:“许多人的手机号被泄漏,根据微博账号就能查找手机号,相信包括明星、企业家、公事员等人在内,也包括我的手机号,来总的(微博CEO 王高飞),也包括列位的。”
随后媒体爆出,在暗网上,有人以“5.38亿微博用户绑定手机号数据,此中1.72亿有账号基本信息”的名义,对个人信息进行售卖。同时,Telegram也在售卖隐私数据,用户通过比特币/ETH数字钱币充值后,可以使用微博ID反查脱手机号码。
“Telegram并非暗网,但内里是匿名且使用虚拟钱币生意业务,在微博数据被指泄漏之后,过来测试凑热闹的人变多了。”另一位互联网企业的安全专家告诉汹涌新消息记者,参加Telegram平台的社工群后,提供查询服务的是机器人,用户既可以根据微博ID查询手机号码,也可以根据姓名、身份证号、QQ来查询。
“社工库可以以为是全部已泄漏数据的聚集,在这个库里,微博昵称并不是唯一的查询方法,不外,姓名查询更不准确,由于存在重名的环境。”该人士说,但对于生疏人而言,他可以先通过微博ID匹配出你的手机号,再使用手机号进一步关联查询,匹配出更多的信息。当关联信息充足多,一个虚拟全球“完备的你”就很大概被匹配出来。
3月23日,上述两位安全人士对Telegram上的数据做查询测试,此中一位通过微博ID,在Telegram上成功查询到自己及记者的手机号码。另一位安全专家则以自己为例进行查询,结果表现并禁绝确,匹配出的信息并非自己的个人信息。
相较于Telegram的火热,暗网的帖子则“看的多,买的少”。
3月5日,国内的一些安全公司通过监控,发现暗网上有人兜销微博用户数据的帖子,这条暗网帖子在克日微博爆出用户数据泄漏后进一步发酵。
暗网上关于兜销微博用户数据的帖子
“暗网上,5.38亿微博用户绑定手机号数据的售价约合1900美元,商品页面上是一些数据库的字段信息,好比,userid是用户的唯一标记号码,种类为text,phone代表手机号,别的,另有微博数、粉丝数、关注数、品级、性别、地理等基本信息字段,但这些并非重要信息。”上述金融行业的安全工程师告诉汹涌新消息记者,截止3月24日,该帖子的生意业务量依然为“0”,页面提示限定生意业务。
对于可否通过微博ID匹配出名流企业家的手机号码,这位金融行业的安全工程师告诉汹涌新消息记者:“没有须要,早在2018年10月,暗网上就有人贬价处置全国17万董事长的信息,数据字段则包括姓名、职位、电话和公司名称。为了取得买家书任,董明珠、雷军、马化腾等人的手机号被明文列出,不用费钱就看得到,这个帖子依然在暗网挂着。”
微博用户昵称曾被批量匹配
根据新浪微博方面3月21日的说法,自2011年以来,微博不停提供查询通讯录好友微博昵称的服务,用户授权后可以使用该服务。但用户仅能查询到相关账号昵称,也可以随时取消授权。此前黑客通过手机号比对服务得到多个平台的用户信息,比方通讯录好友微博昵称、QQ号、邮箱等,并抓取微博用户个人主页上的公开数据,以“5.38亿微博用户绑定手机号数据,此中1.72亿有账号基本信息”的名义进行售卖。对此,微博已增强安全策略,并将具体环境上报给司法机构。
新浪微博方面人士告诉汹涌新消息,并非微博泄漏数据,而是灰产非法盗取手机号后,又非法调用了微博数据。“理论上,假如你知道一个手机号,也可以通过查找功能,找到这个人的微信和QQ号,但不能说是微信和QQ泄漏了他的手机号,在这件事上,微博也是受害者。”
据理解,在2018年底,曾有效户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
对此,极棒试验室安全研究员宋宇昊告诉汹涌新消息记者,假如根据微博所述,黑产是通过大数据的方法,将差别渠道泄漏的信息关联汇总,那么微博的失责在于泄漏了昵称与手机号的关联,导致黑产拿到这些信息后,进一步关联到其他渠道泄漏的隐私信息,这完满是在微博的控制范畴以外了。“需要提示的是,对于平台来说,需要严格葆护好用户隐私,纵然昵称手机号关联不算很敏感的个人信息,在泄漏后通过黑产大数据也会导致严峻的结果。” 宋宇昊说。
上述不肯具名的金融业安全工程师也告诉汹涌新消息记者,虽然现在尚不能确定微博是隐私数据泄漏源,但确实没有葆护好用户数据。
“道理很easy,有人拿少量的手机号码来匹配微博昵称,你可以说自己是受害者,但当别人用上百万、万万的手机号码来匹配昵称,如此令人受惊的数目级,岂非微博的风控没有发现。”这位金融业工程师告诉记者,最终受害者还是普通用户。
安全专家提议:勤修改密码,为自己的账户分品级
据悉,在工信部对新浪微博相关负责人的问询约谈中,工信部要求其根据《网络安全法》《电信和!互联网用户个人信息葆护划定》等法律法例要求,比较工信部等四部分制订的《App违法违规收集使用个人信息行为认定方法》,进一步接纳有用棤施,消除数据安全隐患:
一是要尽快美满隐私政策,规定用户个人信息收集使用行为;
二是要增强用户信息分类分级葆护,强化用户查询接口风险控制等安全葆护策略;
三是要增强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,实时防备数据安全风险;
四是要在发生重大数据安全事件时,实时告知用户并向主管部分陈诉。
对于微博账户的密码是否也会被泄漏?
新浪微博在3月21的回答中进一步表现,微博不存储用户明文密码,而是接纳单向加密存储,用户密码并不会泄漏。但是,当前安全形势严酷,依然有部分用户使用和其他平台相同账号密码,大概导致其微博账号面对被盗的风险。站方将不停强化安全策略,美满账号安全设置服务,以帮助用户进步账号安全品级,我们同时号令用户增强防备意识,葆护好个人账号。
平台接纳单向加密存储,是否就能保证用户密码十拿九稳?对此,上述互联网行业安全专家告诉汹涌新消息记者,纵然是加密储存,对于打击者而言,也有“彩虹表”可查。“这个表是历史上全部泄漏的密码字典聚集,好比,假如一个平台的服务器被偷取,打击者并不能直接逆向得到你的密码,但可以在彩虹表里查到密文对应的明文,从而破解密码。以是,平台在做单向加密的存储同时,要注意密码的奇特性,也叫‘加盐’。”
上述金融行业安全工程师则提议用户勤修改密码,除了微博,应该为自己名下的各种账户分类。“涉及邮箱(绑定多个账号)、网盘、学校(如学信网!)、当局机构(如公积金)等账户密码应作为特重要密码,与普通账户密码保持差别。”(本文来自汹涌新消息,更多原创资讯请下载“汹涌新消息”APP)
Ten articles before and after
21:16 Time | Conversion and Information | – Telegram 繁体版 下载
5 Best All In One Messenger App Compared – Which One To Use? – TechWiser – Telegram
Telegram bot to Track your Expenses in a Spreadsheet – Best Telegram
Live Cricket Match कैसे देखे 2022 – Telegram Tips
Best Telegram Malayalam Movie Channels 2022 – TelegramGuru
