破解帳戶後,黑(hēi)客重現如(rú)何榨幹用戶的最終價值
CSDN,天涯等數據庫被拖引發了全民(mín)網絡擔憂,那麽黑(hēi)客拿到這些隐私秘密後會怎麽用呢(ne)?他(tā)們會如(rú)何由點到面榨幹一個用戶的最終價值呢(ne)?一位匿名黑(hēi)客從(cóng)筆者已被洩露的天涯賬戶開始,理(lǐ)想化的重現了這一過程(@騰訊科(kē)技):
1 在獲取筆者的天涯賬戶後,黑(hēi)客首先嘗試了關聯的網易郵箱,由于筆者的網易郵箱密碼與天涯賬戶相(xiàng)同,對方毫不費力進入了郵箱。
2 進入郵箱後,對方獲得(de)筆者曆年(nián)來(lái)注冊開心網、智聯招聘、中華英才網、前程無憂、快(kuài)錢、百度、百付寶、校(xiào)内、京東、新浪微博的确認郵件(jiàn)。其中智聯招聘、中華英才網、前程無憂、京東的注冊确認郵件(jiàn)中直接顯示會員(yuán)名及密碼。其餘幾個網站(zhàn)除開心網及快(kuài)錢外均與天涯賬戶密碼相(xiàng)同。但(dàn)因開心網及快(kuài)錢密碼與京東密碼相(xiàng)同,也被猜中,至此以上網站(zhàn)密碼全被攻破。
3 通過前程無憂,獲知筆者QQ号碼,真實姓名,身(shēn)份證信息,收入情況和生(shēng)日(rì)等重要信息。
4 嘗試破解QQ号碼,盡管筆者的QQ密碼與以上各網站(zhàn)密碼完全不同,但(dàn)黑(hēi)客依據真實姓名全拼、生(shēng)日(rì)、手機(jī)和之前各類密碼的組合方式,迅速暴力破解成功。進入QQ郵箱,獲得(de)筆者在豆瓣、淘寶、網易戰網的注冊确認郵件(jiàn),暴力破解淘寶及支付寶密碼成功。
至此,一個天涯賬号的洩密變成了一個自(zì)然人(rén)從(cóng)虛拟到現實全方位的洩密,據匿名黑(hēi)客介紹,已經從(cóng)筆者身(shēn)上獲得(de)的信息可(kě)以反複銷售數次:虛拟貨币的賬戶賣給專人(rén)直接變現;網絡遊戲的賬号賣給專人(rén)将虛拟物品變現;個人(rén)資料賣給各個推廣公司、調研機(jī)構(根據性别、年(nián)齡、收入、地域可(kě)賣給不同行業);私密關系賬戶可(kě)賣給騙子集團牟利(QQ、人(rén)人(rén)網或朋友網);天涯及微博早年(nián)注冊的ID可(kě)賣給網絡水軍公司……
該匿名黑(hēi)客稱,除非有高價人(rén)肉搜索的單子,否則自(zì)己不會人(rén)工(gōng)去(qù)做這些工(gōng)作(zuò)。但(dàn)天涯和CSDN的數據庫曝光(guāng)太久,恐怕其中大(dà)部分(fēn)人(rén)的隐私早已被窺探出售過。
看(kàn)到這裡(lǐ),我想朋友們應該要更加有意識的去(qù)保護自(zì)己的隐私了。剛剛不久前曝出的“SAE 托管的 XWeibo 用戶信息及 appsec、數據庫密碼等信息洩露”漏洞就(jiù)很有可(kě)能洩漏了許多用戶敏感信息,安全人(rén)士@xslidian上傳了一張可(kě)獲取的信息圖,并且表示自(zì)己已經“把微博上啓用的第三方App應用都(dōu)給取消授權了”。