[网文] 5亿微博用户信息泄露背后：BTC与暗网数据的纠缠

免责声明：本文旨在传递更多市场信息，不构成任何投资建议。本文是转载，不代表任何个人或组织立场。 一切影响和后果与本人无关。

如果有一个你从不认识的陌生人窥探到了你的微博、贴吧、qq账号和密码，如果他们还知道你的真实姓名甚至是身份证号，你会不会觉得很恐惧？

再如果，你是一个「喜欢偷懒」的人，不仅不经常改动自己的账户密码，反而因为嫌设置多个密码麻烦而把所有的账户密码都设置为同一个。

在这种情况下，一旦你的一个账号密码泄露，你会不会觉得更加恐惧？然而这样的事情，已经在现实中发生了。

近日，有用户发现5.38亿条微博用户信息在暗网出售，其中，1.72亿条有账户基本信息，售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。而当我们进一步探察究竟时，我们才发现，原来这只是隐私数据贩卖冰山一角。

1.本文中的所有查询到的敏感结果已经打码，保护当事人隐私

2.本人作者已将所有查询到的信息删除清空

3.本文写作较为草率，如有不准确希望理解，希望对大家的个人保护警惕起到抛砖引玉的作用！

3月19日上午，有微博名为“安全_云舒”的用户转发微博时称：“很多人的手机号码泄露了，根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码，来加我微信了。”随后，该网友在微博下的留言中进一步表示，他通过技术查询，发现不少人的手机号已被泄露，当中涉及不少微博认证的明星、官员、企业家。

“来总的手机号也被泄露了，我昨晚查过。”（“来总”代指微博CEO 王高飞）

在19日下午体验了一把泄露数据的灰产产品，已验证密码、个人敏感信息确实被暴露！虽然不确定是否是从微博暴露的，但是通过微博这一公开平台，可以微博ID查出手机号。从而通过手机号关联到更多密码、个人身份信息。

01Telegram上的数据灰产

Telegram是一款匿名聊天软件。如果在这款聊天软件上搜索「社工库」，你便能找到网传出售5亿微博用户数据的灰产商家。

据数位在「社工库」查找自己信息的人士反映，他们查到的个人资料几乎都属实，不仅手机号是真实的，甚至连微博密码都是真实的。经过验证碳链价值发现，「社工库」出售的不仅仅是微博相关数据，它还支持QQ查手机/手机查QQ，微博uid查手机/手机反查微博，贴吧账号查手机/手机查贴吧账号。

02数字货币充当支付手段

查询这些数据所需要花费的金钱是多少呢？他们又是如何收钱的呢？根据教程，「社工库」以「积分机制」的形式贩卖服务。用户可以通过BTC或者以太坊为服务充值以获取积分，然后使用积分可以查询各种服务。

当然，在「社工库」的话语体系里，这种购买行为被称之为「赞助」。通过0.00678个比特币，或者0.358个以太坊，用户可以获260积分。充值积分越多，获得单个积分也就越便宜，例如0.01个比特币能够获得499积分，0.03比特币能够获得2303积分，0.05个比特币能够获得5756积分。此外，如果你能够为「社区库」贡献数据，你还能够获得奖励积分。其中，10积分可以做一次普通查询，约等于10元一次；50积分（50元）可以查一个贴吧/QQ微博套餐服务；个人征信报告则卖到了1200元。由于灰产交易在今日引发了媒体的强烈关注，加入Telegram群购买服务的人也随之激增。目前尚不清楚，这件事究竟为数字货币行业导入了多少流量，但比特币和以太坊的价格在今日暴涨。其中比特币价格上涨了8.6%，至5800美元；以太坊的价格上涨了8.4%，至125美元。

03保护好你的隐私

在目前中心化架构的互联网服务下，尽管各大互联网公司尽力防备，数据泄露事件层出不穷。再加上在这个时代，数据慢慢变成了一种重要的生产要素，同时猎奇之风盛行，「贩卖隐私」的灰色产业链也就应运而生了。在这样的环境下，保护好个人的隐私数据，已经成为了一件刻不容缓的事情。例如，我们应该禁用浏览器第三方Cookie，远离钓鱼网站，不下载不明APP；我们还应该注册多个邮箱或使用临时邮箱，使用多套密码；针对那些重要的金融应用，我们应该避免使用重复度高的密码，并且注意定期更换。我们总结了一些内容，希望能让大家对个人隐私保护及密码管理产生警惕，也希望大家能按图索骥，查出背后团体的真凶。

本次数据泄露据说是由微博而来，在小道消息的引导下，我们找到了购买隐私数据其中一个根据地：电报（Telegram），通过电报按图索骥、购买服务，摸清了灰产的整个服务架构。

交易流程概述

加入电报找到售卖机器人机器人分享报价和交易方式选择交易机器人给出比特币/ETH数字货币地址打款后，机器人为电报账号充值积分利用积分查询该系统是“积分机制”，即你通过数字货币为该灰产充值，则电报账号在灰产的账户中会多一些积分。使用积分可以查询各种服务：作者亲测， 0.358 ETH = 260积分，10积分可以做一次通查询，则相当于 0.0138 ETH一次，约等于10元一次。

服务流程概述

1.选择批量查询→机器人批量输出名单（每次100个左右）。

包括：微博账号、邮箱、密码 等信息

2.选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括：绑定QQ、绑定手机、微博主页地址输入绑定QQ，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、QQ关联账号、QQ密码输入绑定手机，机器人输出真实姓名、老密信息（密码）、姓名、手机、邮箱、微博账号、微博绑定手机

3.直接查询真实姓名：机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址

4.直接查询身份证号：机器人输出身份证号和真实姓名

总结

这次的灰产产品有如下几个特征：

1、可信性极强：整个流程中，历史上被撞库的密码，通过身份证、真实姓名、邮箱、手机号、QQ号被关联，因此准确程度比以往的库都要强大一些

2、工具链齐全，人人可被查：本次引爆点是通过微博公开的OID查询到个人手机号和身份证，因此任何人都可以再通过手机号查询到他人密码，从而完成对任何人的资产攻击！

3、自动化强：在流程中，灰产作者很好的利用了以下三个工具完成了身份匿名——Telegram，匿名通讯Telegram的自制机器人，完成自动交易BTC/ETH等数字货币，且为每个用户单独生成地址，便于洗钱和反侦察

交易详述

先在Telegram找到社工群与电报机器人聊天获取通过数字货币给机器人充值的地址：希望对执法分析有所帮助

交易流程

贴吧/QQ/微博/LOL查绑（每次30-80分）输入手机/贴吧ID/微博ID/QQ/LOL 互相查询对应绑定信息。此灰产工具宣称自己是“全网独家数据”，外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。支持QQ查手机/手机查QQ，微博uid查手机/手机反查微博，贴吧账号查手机/手机查贴吧账号，LOL昵称查对应QQ、手机、姓名等。微博ID就是微博用户主页后面的数字，有些用户是个性域名，可以进入主页右键查看源码，

如下图oid即为微博ID。

比如：查名人微博

1、我们先去李X乐老师微博，打开他的主页，通过chrome右键打开“源码”模式，获取到李老师的OID：

2、根据李老师的OID，去查询具体信息李老师的手机号、QQ号已经被查到了

3、拿到了手机号，就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询：可以看到，通过手机号查询得知，我已经暴露了自己的多个密码、真实姓名！

猎魔查询

猎魔查询即列表模糊查询，据该灰产宣称是“来自公安网的一种业务”，现在在机器人也可以查询了。该功能旨在寻找知道姓名，性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据（以社会知名人士测试综合命中率已高达70%以上），猎魔查询分为三种查询模式：模糊查询，精准查询，占位符查询

模糊查询

查询方式为输入真实姓名，根据提示点击按钮进行查询。输出结果后，可以选择性别/省份，这两个选项为必须项，不选择无法查询，也不会扣分。如果该省内重名少于50结果，将直接显示全部结果并扣费，如果命中人数过多，你需要继续选择年龄，月份。

精准查询

查询方式为输入真实姓名以及身份证内任意连续的数字，机器人出现猎魔查询按钮。点击按钮进行查询（查到结果扣分，未查到前不扣）通过精准查询，灰产可以根据你的其他信息（出入地等），锁定个人身份，从而查出你的更多信息。

信息查询

（每次1-10分）大部分信息在这都可以查到，结果包含【密码查询】、【同密码】以及【贴吧绑定】，可以查询快递，开房，户籍，地址，身份证，手机，邮箱，账户，密码等等身份证自动提示归属地，年龄等信息手机号自动提示归属地&机主姓名地址自动匹配高精度定位结果Hash自动破解成功率更高去掉只有一条结果的信息通过连续的Join（关联），还可以查出来：QQ/手机查名输入手机/QQ号码查询号主姓名群关系隐私保护功能这是最为搞笑的：一个售卖公民隐私数据的产品，居然还主打“隐私功能”！！你花钱使用了屏蔽功能后，本功能会匿名存储该关键字, 非删除数据。屏蔽功能仅支持在本机器人中隐藏私人账户，屏蔽后任何人都无法查询。屏蔽后仍会模拟正常查询流程，其他人无法察觉已被屏蔽，正因如此，由于群关系随处可查，故群关系数据不在屏蔽列表中。

总结

我们相信目前所有互联网服务，基于目前中心化的架构，出现数据泄露问题是必然的，是个概率性事件。充耳不闻并不管用，你的账号还在，不说明你的安全做的好，只能说对黑客还没有价值——因为很多已经暴露的信息永远暴露了，且可以通过关联技术指数级增强确定性！让我们一起改密码吧！！！

参考：https://www.freebuf.com/news/230960.htmlhttp://www.safebase.cn/article-260389-1.html

原文地址：微博泄露事件后一定要改密码吗？5亿微博用户信息泄露背后：BTC与暗网数据的纠缠