您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识

(用姓名查身份证)-输入姓名查个人身份证号码

社工,信息,数据(用姓名查身份证)-输入姓名查个人身份证号码

发布时间：2016-12-08加入收藏来源：互联网点击：

用姓名查身份证（输入姓名查个人身份证号码）

近期，微博发生用户数据泄露事件，引发监管层问询约谈。新京报记者调查发现，实际上，被泄露的不止微博用户数据，在黑灰产交易平台上还可以查询到QQ、贴吧甚至LOL游戏账号的用户数据信息。“人肉搜索”已经成为了一门灰色生意，花250元甚至可以根据名字查到你的户口簿信息。

新京报记者发现，根据平台、卖家不同，“人肉搜索”的种类、价格也从数百元到数千元不等，而这些信息均来自于黑灰产人士用于储备个人信息的“社工库”。

“社工库是长期存在于黑市里的数据，来源很广泛，有各种信息泄露事件中积累的个人信息，也有从爬虫网络上找得到的一些其他信息。社工库及人肉搜索行为触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。但对其的打击难点在于，这些库很多都是历史信息，已经流转多次，很难追寻源头并封堵。”3月27日，梆梆安全高级咨询专家贝松涛对新京报记者表示。

数据从何处泄露？

微博：手机号码不来源于微博 专家：泄露来自社工库

3月19日，微博被曝发生数据泄露。默安科技CTO魏兴国发布一条微博（目前已删除）称，通过技术查询发现不少人手机号已经泄露。3月20日，新京报记者调查发现，在多个网络平台上确实出现了相关的数据买卖，只要缴费即可通过微博账号查询到用户的手机号码及其他更详细个人私密信息。

对于这次用户数据泄露，微博方面对新京报记者表示，外部流传的“微博用户资料库”中的手机号码并不来源于微博，而是黑客从其他渠道非法获取，再通过微博相关接口批量上传手机通讯录匹配账号昵称。黑客同时利用非法获取的手机号在其他渠道获取信息，组成所谓的“微博用户资料库”对外出售。

3月24日，工信部在官网发布消息称，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈，要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》，进一步采取有效措施，消除数据安全隐患。并要求微博尽快完善隐私政策，规范用户个人信息收集使用行为，强化用户查询接口风险控制等安全保护策略等。

新京报记者注意到，工信部与微博都提到了“接口”。那么，什么是“接口”？其在此次信息泄露中起到了什么作用呢？

贝松涛表示，App的用户查询接口指的是一个应用系统可能开放了某个API（应用程序接口），来做个人信息的查询，这种API很关键，需要加强安全保护。对发起的请求方做身份验证，IP地址鉴别、证书校验都是可选的安全方式。

熟悉黑产运作方式的人士李环（化名）告诉记者，使用App账号反查用户身份的一个关键环节是，取得账号与注册手机号的对应关系，此后再通过手机号与身份证的对应关系确定用户身份，其中，手机号与身份的对应关系并非App泄露，但账号与手机号的对应关系极有可能是通过App开放的接口获得。

李环举例称，此前微博与脉脉就曾因接口问题“闹崩”：脉脉在和微博合作期间，脉脉用户可以在该App的“一度人脉”功能中直接看到非脉脉用户的微博头像和名称，这正是微博向脉脉开放了其API接口。后来微博提起诉讼，认为脉脉存在非法抓取、使用微博用户信息，非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系等行为，双方对簿公堂，最终微博方面胜诉。

此外，新京报记者发现包括微博在内，不少App都会要求用户开启通讯录权限。对此，贝松涛表示，开启通信录权限只是获取用户的联系人信息，和账号与手机号对应本身没有必然关系。但是通过获取联系人信息，得到了手机号和姓名的对应，黑客再根据姓名-账号库就可以把这些信息关联起来。“所以获取通讯录权限可能会助涨这样的泄露事件发生。”

有安全人士称，此次微博数据泄露事件与用户通讯录权限的关系不大，用户手机号与用户真实身份的联系并非从微博泄露，而是来源于已有的“社工库”，真正需要微博负责的可能就是其对接口的安全保护策略。

在被工信部约谈后，微博表示，公司高度重视数据安全和个人信息保护，针对此次事件已采取了升级接口安全策略等措施，后续将按照工信部要求，落实企业数据安全主体责任，切实做好用户个人信息保护工作。

贝松涛表示，账号和手机号的对应关系，可以由任何一次信息泄露事件引发，例如过去发生过的华住泄露事件。而一个人通常都是用同样的账号和手机号来注册多个信息系统。

源头“社工库”？

100元买4G邮箱数据，70亿条数据叫价2万

那么，包括微博在内的各个平台，其泄露的数据是如何与用户真实身份联系起来的呢？

3月20日至3月27日，新京报记者在多个黑灰产平台调查发现，提供姓名查询身份证，或提供App账号查询对应手机号码的业务已经形成了产业链，而根据平台、卖家的不同，这类“人肉搜索”的价格也不尽相同。

如有黑灰产卖家提供“全自动”的人肉搜索服务，买家只要支付320元成为VIP就可以享受该人肉搜索服务，服务内容包括查询微博、QQ、贴吧、LOL游戏账号的对应手机号等信息。

3月20日，新京报记者为调查向黑产人士购买了价值约12元人民币的积分，获得了201条微博用户信息，其中不少信息包括用户身份证号、手机号、密码、生日等私密信息。对于其提供的微博定向查询手机号服务，记者测试查询了3个已绑定手机的微博账号，结果有2个微博账号显示为正确的关联手机号码，其中1个还给出了微博绑定的QQ等更详细的信息，另一个微博账号的查询结果显示“无信息”。

李环告诉记者，能够查询到的信息均来自于该群组的“社工库”，而无法查询到的信息即该“社工库”尚未收集到的信息。令人惊讶的是，该社工库数据量极其庞大，记者随机查询了10条身份信息，均指向了正确的结果。

“黑灰产人士在这方面‘深耕’越久，数据量就越大，若有足够耐心的黑灰产人士将历史上各个时期泄露的数据都予以收集，其‘社工库’的数据量会达到惊人的地步。‘社工库’的拥有者往往是人肉搜索产业链的上游，不少数据掮客、私家侦探等查用户账号密码或查开房记录时，其实都是从这些‘社工库’中购买信息，再加价对客户进行‘二倒手’售卖。”李环表示。

3月25日，新京报记者从多个网络平台上搜索到不少直接售卖社工库数据的黑灰产项目，价格从50元到2万元不等。其中，一个售价100元的“老密邮箱数据库”信息，足足有4个G，里面全部都是曾经泄露过的用户邮箱地址及密码。对于这些数据的来源，卖家表示是“网上收集”的。

记者浏览到的数据量最大的是一个号称包括70亿有效数据的“已知全部泄露数据库”。卖家声称该数据库内含28.93亿条邮箱信息，4.26亿条身份证信息，8.27亿条手机信息，售价2万元人民币。

 1/2    1 2 下一页 尾页