黑客和隐私(二)社工库里马化腾的密码

本文作者:逆狗,发表于知乎,经作者同意,转贴到本站,从回答形式改为文章形式,所以略有删改.

1、社工库真实存在,并且其恐怖指数远超于你我的想象……
2000万开房数据也就算了,银行流水都能查出来,而且现在交叉推算,普通人的密码对拥有庞大数据库的人来说视若无物。我的圈子里有人一直在做网络信息安全方面的事情,有一个怪癖的大神(姑且称之为X)连续十年在完善他的社工库,目前已经有6亿条200多个G的数据,包括姓名、身份证、卡号、密码、住址、联系电话。而我通过和他聊天还知道,还有比他更厉害的大神,社工库比他更完善的大神,收集了差不多中国10亿人口的数据。
我试着在X的社工库搜索自己常用的账号,天涯、QQ、电玩巴士、网易邮箱的密码全部已经被破解成明文在他的社工库里面。然后他告诉我如果他想拿到一个人的账号,比如百度账号,他只需要搜索出这个人的相关资料,然后通过密保问题、找回密码等申诉,因为他的资料准确性很高,所以只要弄,基本上都能获得密码。
是不是细思极恐……
最最关键的是:这些拥有社工库的人数据都存放在国外的服务器上,在国内是无服务器、无备份、无纸化、无U盘,就算警察查水表,也并没有什么卵用,甚至说,实名举报,都无法获得有力的证据。

2、如果真的存在,对于利用这个数据库的企业来说,是不是非法(我觉得是),以后暴露出来对他们有什么影响

中国目前对于这方面的法律并不完善。
我就说三种企业,第一移动网络运营商,第二阿里巴巴,第三快递公司。
如果,我是说如果,我获得移动网络商的客户资料,就可以得到用户的姓名和电话。并且可以精确到地区,只要稍加弄一下,就可以获得GPS定位的资料。
如果,我是说如果,我入侵阿里,就可以从注册ID的数据库里面获得用户的姓名、电话、具体地址、常用密码,甚至是银行卡卡号和密码。
快递公司不用谈啦,这个是最最最不安全的,也是获取姓名、地址最简单的社工库。
以前有中介公司直接就找快递买单元住户的姓名电话,2元一条,精准度在90%以上,你手机的骚扰电话就是这么来的。

这些几乎都是已经明摆着的事情,从电话实名认证、支付宝实名认证、实名发快递开始,就注定了你的个人资料(姓名、身份证号、电话)等,会被收录到一个数据库当中,在互联网里面流浪,或许今天它安安静静地躺在某公司的服务器里面,但是明天它就可能被拷贝或下载到了另外一台电脑。当年陈老师不也是没有想到,一个修电脑的竟然……

3、这个如果真的存在,我觉得最近阿里的十年账单问题简直是小巫见大巫,普通好奇心比较强的人有能够去接触这个库么(例如私家侦探找资料)

马云在互联网界算是一个另类奇葩,互联网枭雄四起,马化腾李彦宏之类的,谁人不知道数据库的重要性?
殊不知腾讯QQ,一直在悄然采集用户行为习惯,后台监控用户操作”(注明:本人对此句引号内画横线内容不负任何法律责任,纯属引用360的说法)
在腾讯,你以为你无法查到的,并不是无法找到了。我曾经取过一个脑残网名,敲了回车之后又觉得不太好,于是当场又更改了,这个只存在了十秒不到的网名,居然也在别人的社工库搜索出来了。
殊不知你才刚刚百度了一下,充气娃娃是什么,等你打开购物网站,第一页的推送就出现了某冰某予同款?你敢说百度没有采集你的搜索习惯?百度还会自动分析你喜欢点的搜索结果,我喜欢吃一个饭馆的菜,在百度地图里搜了几次这个菜馆,后来在百度搜索里面这个饭馆老排在第一页,然而我朋友搜却要翻几页才有。这难道不是非人为地”社工了”我的饮食爱好?

然而马云的起点多高?马化腾和李彦宏这些年轻人,老是想搞个大新闻,可我们马云爸爸呢?早就和奥巴马谈笑风生!题主可能并不知道淘宝的千人千面,更不谈阿里云和万网了,这个问题就不深聊了。

4、这个在民间存在,天朝官方是不是有更详细的……

中国的国家机关庞大而臃肿,但是你不要以为这只是一个花拳绣腿的胖子。你要知道,除了少部分不出世的鬼才,大部分勤奋好学天赋超群的人才都是被国家相关单位和机关收录了,偶尔你去相关部门办个证啥的看人家动作慢效率低,但那只是前台工作人员好吗,后台的技术性人才还是很厉害的。比如,中国的身份证查询系统,通过身份证号码,就可以查出这个人的学历学籍居住地、最近的开房记录、最近的上网记录、犯罪记录、考试记录、行车记录,等等等等……
但是说过了,中国的国家机关庞大而臃肿,因为人实在是太多了,有时候很多信息的得不到及时的更新。虽然我只要在派出所刷一下身份证就能看到我的婚配状况,但是我仍然需要回到地方派出所开一张单身证明才能买房,这种操蛋事情很多人都碰到过。

总而言之,跨省开门查水表你怕不怕?

====================================================
可能以上我说了太多文字,看起来比较累,也丝毫没有说服力。
所以,不如来作一下死吧。

众所周知,BAT乃是目前中国最顶尖的互联网三大巨头,互联网顶尖的人才、团队,都集中在这三大巨头里面,这些杰出的顶尖的人才,都拥有国内领先的互联网技术、互联网思维,毫不客气的说,这些大巨头里的小兵,放在小企业里,也是能扛大鼎的人物。
那么问题来了,如果你是一个HR,或者是一个猎头,如何挖掘或获得这些大巨头的核心成员资料,方便挖掘人才(挖墙角)。

拿腾讯举例吧。
目前网上早已公开化的信息,就是:

1号人物:马化腾 网名:pony QQ:10001 腾讯公司总裁CEO
2号人物:张志东 网名:Tony QQ:10002 腾讯公司技术总监CTO
3号人物:曾李青 网名:kney QQ:10003 高级执行副总裁兼首席运营官
4号人物:陈一丹 网名:Charles QQ:10004 高级执行副总裁兼首席行政官
5号人物:许晨晔 网名:daniel QQ:10009 高级执行副总裁兼首席信息官CIO
6号人物:曾振国 网名:Patrick QQ:10006 高级执行副总裁兼首席财务官
7号人物:小光 网名:free QQ:10007 腾讯技术部经理 网络总管
8号人物:夜猫 网名:nightcat QQ:10008 早期的腾讯公司的技术开发人员

这些创始人一类的人物,肯定是难以挖动的。(除非你是国际一线企业,其实这些大佬大部分离开腾讯的话只能是自己创业,比较菩萨太大没那么大的庙)

※ 由于QQ群的数据库已于2013年底被脱裤,QQ群的社工库里面收录了2013年以前的所有群成员、QQ号、QQ昵称、QQ群关系的数据。

马化腾的社工结构图

于是我们来社工一下马化腾的QQ群关系,得到下图。

没错,我们可以清晰地看到,马化腾截止到2013年年底,参与或拥有过的QQ关系群,而且能从群数据里准确地看到其他群成员的QQ号和昵称资料。

大家肯定也有加入过工作群或者生活群的经验,很多时候为了方便分辨,都是用的实名昵称,很明显,在【QQ空间产品中心群】里面,大多数人都是实名的。

所以,如果你是一个猎头,这时候知道该怎么做了吗?
(卧槽,我会不会说太多了!)
(我得声明一下:以上图片皆来自互联网,我不知道他们是怎么产生的!本人不负任何法律责任,谢谢。)

哦,对了,顺便提一下QQ密码的社工库,也是那一年,QQ密码的社工库也发生了小规模的脱裤。

很多密码还是加密的,但是大多数都已经是破解了的,破解成明文的密码哦!
然而你就算知道了马化腾的密码也没什么卵用。

我只是想说:
※ 社工库里连马化腾的密码都收录了,你以为你的密码有多安全吗??


 

相关阅读:黑客和隐私(一)前言

5 thoughts to “黑客和隐私(二)社工库里马化腾的密码”

回复 zengda 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注