这款搜索引擎竟然可以提供个人隐私查询的服务
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
不知道大家有没有听过“社工库”?
神州明达
小编刚看到这个名字的时候还以为是和社会工作者相关的机构。
但是在真正了解之后,却被惊出了一身冷汗。
“社工库”所说的“社工”全称其实叫社会工程学,指的是黑客入侵时,使用跟电脑技术无关的,更偏向于通过与人的接触(坑蒙拐骗),来破坏安全防御,进而入侵的一种技术。这是目前各大公司面临最危险的安全隐患之一。(“社会工程学”是由米特尼克的《欺骗的艺术》中提出的,有兴趣的小伙伴可以自己去看一下)
而社工库就是黑客们将泄露的用户数据进行整合,然后集中归档的一个地方。这些用户数据大部分来自以前黑客们拖库撞库获得的信息,包含的数据类型除了账号密码外,还包含被攻击网站所属不同行业所带来的信息。
▲据说LeakedSource曾是全球最大的社工库网站被称为“数据泄露领域的Google搜索引擎”,积累的泄露数据将近30亿条。
最后,通过收集到的信息,建立社工库,做付费的查询系统,通过贩卖这些个人信息牟利,是黑客们最为常见的牟利方式。
而通过建立起来的社工库也让获取他人的个人信息这件事变得非常容易。在大多数的社工库网站中,根据用户名、邮箱、IP地址、姓名、电话任何一项信息,都可以查到想要查到的个人信息。
▲就像这个,只要输入姓名和身份证号,就可以查询被查询人的开房记录。
前两天,江苏省涟水县法院就对一起通过社工库贩卖公民信息的案件进行了判决。
邢某表面上是北京某公司的小职员,但是,在暗地里却经营着一个数据量庞大的社工库网站。
能够建立这个网站也是一个很偶然的事情。
2014年,邢某通过QQ认识了一个网名叫“冰”的人,最开始的时候,“冰”希望邢某为其搭建一个社工库网站,并通过百度云盘交给邢某10亿条公民信息,让其上传到数据库。完成之后答应付给其人民币3000元,作为酬劳。
结果网站搭建好了之后,“冰”却没有足够的钱来支付给邢某,邢某自然也就不会将完成的网站交给“冰”。但是没有拿到钱的邢某还是有点不甘心,于是便选择了自己经营这个搭建好的“社工库”网站。
如同大多数的社工库一样,邢某的社工库同样采取了会员制服务,用户在购买会员后,通过网站登录界面注册绑定,就可以通过已知的信息来查询他人身份证号码、手机号码、住址等公民真实身份信息。
▲早期的咔咔社工库就是这个样子的
最初,为了推广网站,邢某通过贴吧赠送了500个永久会员账号,用来吸引关注。然后,在网站有了一定量的用户和知名度后,便开始通过33fan发卡网、365发卡网等平台出售网站会员账号。
随着用户量的增加,会员也从最开始的30元/个,逐渐涨价,直到最后永久会员价格为150元/个,月会员价格为60元/个,周会员30元/个,截止到查封之前,网站共有会员3578名。
在网站运营的几年时间当中,邢某还先后从网络上搜集了20多亿条公民信息,上传到了网站数据中,到最后,数据库中存在的个人信息已经接近到30亿条(没错其收集的个人信息量已经和LeakedSource相当),并将网站提供的服务划分为:账密查询、开房记录查询、MD5查询、QQ老密码查询、邮箱密码查询、QQ群关系查询六个部分。
2016年5月,又添加了打包出售数据信息的服务,只需要1000元就可以获得网站所有的公民信息。
整个网站的交易都是邢某用在网上购买的支付宝账号来进行交易,前后共获利133478.92元。
法网恢恢,邢某最终还是被警方抓获,因为侵犯公民个人信息罪,判处有期徒刑四年,并罚人民币95000元。
因为“社工库”带来的公民信息泄露的威胁一直存在。
大多数的社工库收集的信息都是类似于:酒店类网站数据泄露,所泄露的开房数据;订票类网站,所泄露的火车飞机票数据;购物类网站,所泄露的银行卡数据和交易数据;团购类网站,所泄露的个人信息数据。真正能够通过社工获取到的个人信息,只是凤毛麟角。
所以面对“社工库”泄露公民信息的威胁,除了要注意保护个人信息不被泄露外,更多的还是要依赖于储存了用户信息的企业来加强对于信息泄露风险的防范。