編者按：本文來自 Phala可信網絡（ID：phala_network），作者：Marvin，Odaily星球日報經授權轉載。

本文中的所有查詢到的敏感結果已經打碼，保護當事人隐私

本人作者已将所有查詢到的信息删除清空

本文寫作較為草率，如有不準确希望理解，希望對大家的個人保護警惕起到抛磚引玉的作用！

3月19日上午，有微博名為“安全_雲舒”的用戶轉發微博時稱：“很多人的手機号碼洩露了，根據微博賬号就能查到手機号……已經有人通過微博洩露查到我的手機号碼，來加我微信了。”

随後，該網友在微博下的留言中進一步表示，他通過技術查詢，發現不少人的手機号已被洩露，當中涉及不少微博認證的明星、官員、企業家。“來總的手機号也被洩露了，我昨晚查過。”（“來總”代指微博CEO 王高飛）

本文作者在19日下午親自體驗了一把洩露數據的灰産産品，已驗證密碼、個人敏感信息确實被暴露！雖然不确定是否是從微博暴露的，但是通過微博這一公開平台，可以微博ID查出手機号。從而通過手機号關聯到更多密碼、個人身份信息。

我們總結了一些内容，希望能讓大家對個人隐私保護及密碼管理産生警惕，也希望大家能按圖索骥，查出背後團體的真兇。

概述

本次數據洩露據說是由微博而來，在小道消息的引導下，我們找到了購買隐私數據其中一個根據地：電報（Telegram），通過電報按圖索骥、購買服務，摸清了灰産的整個服務架構。

交易流程概述

• 加入電報

• 找到售賣機器人

• 機器人分享報價和交易方式

• 選擇交易

• 機器人給出比特币/ETH數字貨币地址

• 打款後，機器人為電報賬号充值積分

• 利用積分查詢

該系統是“積分機制”，即你通過數字貨币為該灰産充值，則電報賬号在灰産的賬戶中會多一些積分。使用積分可以查詢各種服務：

作者親測， 0.358 ETH = 260積分，10積分可以做一次普通查詢，則相當于 0.0138 ETH一次，約等于10元一次

服務流程概述

• 選擇批量查詢→機器人批量輸出名單（每次100個左右）。包括：微博賬号、郵箱、密碼 等信息

• 選擇根據微博賬号查詢→給機器人輸入微博主頁的OID→機器人輸出結果。包括：綁定QQ、綁定手機、微博主頁地址

• 輸入綁定QQ，機器人輸出真實姓名、老密信息（密碼）、姓名、手機、郵箱、QQ關聯賬号、QQ密碼

• 輸入綁定手機，機器人輸出真實姓名、老密信息（密碼）、姓名、手機、郵箱、微博賬号、微博綁定手機

• 直接查詢真實姓名：機器人輸出老密信息(密碼)、身份證姓名、性别、其他信息、地址

• 直接查詢身份證号：機器人輸出身份證号和真實姓名

總結

這次的灰産産品有如下幾個特征：

1、可信性極強：整個流程中，曆史上被撞庫的密碼，通過身份證、真實姓名、郵箱、手機号、QQ号被關聯，因此準确程度比以往的庫都要強大一些

2、工具鍊齊全，人人可被查：本次引爆點是通過微博公開的OID查詢到個人手機号和身份證，因此任何人都可以再通過手機号查詢到他人密碼，從而完成對任何人的資産攻擊！下文将介紹實例。

3、自動化強：在流程中，灰産作者很好的利用了以下三個工具完成了身份匿名——

• Telegram，匿名通訊

• Telegram的自制機器人，完成自動交易

• BTC/ETH等數字貨币，且為每個用戶單獨生成地址，便于洗錢和反偵察

詳述

交易詳述

先在Telegram找到社工群

與電報機器人聊天

獲取通過數字貨币給機器人充值的地址：希望對執法分析有所幫助

https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76

充值成功

交易流程

貼吧/QQ/微博/LOL查綁（每次30-80分）

輸入手機/貼吧ID/微博ID/QQ/LOL 互相查詢對應綁定信息。

此灰産工具宣稱自己是“全網獨家數據”，外面的查綁基本都是在機器人查詢的。請注意該查詢非實時綁定信息。

支持QQ查手機/手機查QQ，微博uid查手機/手機反查微博，貼吧賬号查手機/手機查貼吧賬号，LOL昵稱查對應QQ、手機、姓名等。

微博ID就是微博用戶主頁後面的數字，有些用戶是個性域名，可以進入主頁右鍵查看源碼，如下圖oid即為微博ID。

比如：查名人微博

1、我們先去李X樂老師微博，打開他的主頁，通過chrome右鍵打開“源碼”模式，獲取到李老師的OID：

2、根據李老師的OID，去查詢具體信息

李老師的手機号、QQ号已經被查到了

3、拿到了手機号，就可以通過【精準查詢】查詢密碼了。此處作者使用自己的手機号查詢：

可以看到，通過手機号查詢得知，我已經暴露了自己的多個密碼、真實姓名！

獵魔查詢

獵魔查詢即列表模糊查詢，據該灰産宣稱是“來自公安網的一種業務”，現在在機器人也可以查詢了。

該功能旨在尋找知道姓名，性别及大概位置的人的身份證号碼。灰産宣稱自己機器人已覆蓋全國50%以上優質人口數據（以社會知名人士測試綜合命中率已高達70%以上），

獵魔查詢分為三種查詢模式：模糊查詢，精準查詢，占位符查詢

模糊查詢

查詢方式為輸入真實姓名，根據提示點擊按鈕進行查詢。輸出結果後，可以選擇性别/省份，這兩個選項為必須項，不選擇無法查詢，也不會扣分。如果該省内重名少于50結果，将直接顯示全部結果并扣費，如果命中人數過多，你需要繼續選擇年齡，月份。

精準查詢

查詢方式為輸入真實姓名以及身份證内任意連續的數字，機器人出現獵魔查詢按鈕。點擊按鈕進行查詢（查到結果扣分，未查到前不扣）

通過精準查詢，灰産可以根據你的其他信息（出入地等），鎖定個人身份，從而查出你的更多信息。

信息查詢（每次1-10分）

大部分信息在這都可以查到，結果包含【密碼查詢】、【同密碼】以及【貼吧綁定】，可以查詢快遞，開房，戶籍，地址，身份證，手機，郵箱，賬戶，密碼等等

• 身份證自動提示歸屬地，年齡等信息

• 手機号自動提示歸屬地&機主姓名

• 地址自動匹配高精度定位結果

• Hash自動破解成功率更高

• 去掉隻有一條結果的信息

通過連續的Join（關聯），還可以查出來：

• QQ/手機查名

• 輸入手機/QQ号碼查詢号主姓名

• 群關系

隐私保護功能

這是最為搞笑的：一個售賣公民隐私數據的産品，居然還主打“隐私功能”！！

你花錢使用了屏蔽功能後，本功能會匿名存儲該關鍵字, 非删除數據。屏蔽功能僅支持在本機器人中隐藏私人賬戶，屏蔽後任何人都無法查詢。屏蔽後仍會模拟正常查詢流程，其他人無法察覺已被屏蔽，正因如此，由于群關系随處可查，故群關系數據不在屏蔽列表中。

總結

• 我們相信目前所有互聯網服務，基于目前中心化的架構，出現數據洩露問題是必然的，是個概率性事件。

• 充耳不聞并不管用，你的賬号還在，不說明你的安全做的好，隻能說對黑客還沒有價值——因為很多已經暴露的信息永遠暴露了，且可通過關聯技術指數級增強确定性！

• 廢話少說，大家都去改密碼吧！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!