通过QQ微博号查询对方手机号,信息泄露有多可怕

在国内互联网,实名认证大家早习以为常,通过实名认证可以确定用户信息,在一定程度上能防范以互联网为媒介的各类犯罪,方便执法人员事后溯源。它的重要性不言而喻,但同时海量的用户信息掌握在企业手中,增加了数据被泄露的可能,而近些年不少大企业均发生过数据泄露事件,难免让人担心。

被泄露的用户数据库往往包含了用户在注册时填写的各种信息,包括实名信息、历史数据、密码设置等,黑客一般拿到一个数据库,就会通过撞库的形式,尝试批量登陆其他网站,以挖掘出更多有用信息,最后这些信息再以高价出售给各种黑灰产业,我们平日里接到的莫名其妙的推销广告、短信,有些部分就来源于这样的信息泄露。那么如何知道自己的信息是不是被泄露了呢?

通过QQ/微博就能查手机号

今年3月份,有人在an网出售微博5.38亿用户信息,从发帖者的描述来看,所涉及到的信息相当丰富了,姓名手机号身份证号等都可以被查询,让人感到震惊!虽然微博申明被泄露的是之前的数据,但很多信息仍然可被搜索到。这里说明一下,查询信息本身就是一种黑灰产业,而且这些人是直接收费的,在TG中付费就能查询,这个之前国内早就报道了~感兴趣可以看这篇文章《》

昨天各大论坛都在转发一个网站,可以通过QQ和微博ID查询绑定的手机号,虽然数据是之前的,但阿刚实测是确实能查到的,测试了下几个号都已被泄露,如图:

通过QQ/微博就能查手机号

(网站已被ban)

这些信息虽然是之前的,但我想有些人的信息可能一直没修改过,而且从网友的回复来看,今年绑定的手机号也能查询,着实让人挺震惊的。其实在网上这种查询的社工库很多,多是黑灰产而且收费的,有网友也分享了一份疑似微博之前被泄露的那份数据,经常听到这些所谓的数据泄露事件,真正自己拿到手里确实让我感到震惊!

首先文件体积解压之后竟然有将近18个G!你能想想一个18G大小的txt文档么。

微博用户数据

 

这里额外插个小话题,这样大的txt文档市面上哪款软件能快速打开呢?答案是EmEditor编辑器,在阿刚电脑(I7 4790k+16G内存+三星固态)上,耗时30s时间完成文档加载,内存占用达到95%

微博用户

从打开的信息来看,阿刚检索了几位好友的微博UID,无一例外都被泄露,而且手机号完全正确。有人觉得这库里的内容只是一个手机号,甚至无关紧要,其实这只是这份被泄露数据中的冰山一角。实际上,原来的格式相当丰富,包括姓名、手机号、身份证、住址等等,这样的内容即便有些数据并非最新,但也足够让别有用心之人加以利用,想想实在可怕。

如何查询密码被泄露

一般黑客拿到用户数据库最大的用处首先是撞库,即通过这套数据库的用户名和密码,用于批量登陆其他网站来匹配,这样就能最大程度挖掘出更多有用的信息。在被泄露出的信息中,用户名和密码无疑是最重要的,因此,日常的网络生活中,密码不要设置为同一个,也许你的密码早就在公开的数据库里了~如何知道你的密码有没有被泄露呢?方法是老套的,网站也是老套的,在这篇文章里,我想还是很有必要做个简单的介绍。

Firefox Monitor/have i been pwned

Firefox Monitor是火狐发布的专门用于检测密码泄露的网页,你只需要输入邮箱,就能一键查询用此邮箱注册过的账号中,有没有密码被泄露在公开的数据库中。

Firefox Monitor

火狐目前将此功能集成在了浏览器中,但你也可以用其他浏览器打开访问,查询后会将罗列匹配的结果,包括泄露的资料什么的,都非常的清晰。

Firefox Monitor

(本图来自网络)

火狐用的是HaveIBeenPwned的数据源,具有一定的权威性,后者是一个独立的网站,而且应该是目前全球最大的专门收集过往各类密码泄露事件以及黑产数据库并将其整理提供公益性的安全查询的服务网站。

HaveIBeenPwned

根据很多人的使用体验来看,火狐虽然使用的是HaveIBeenPwned的数据源,但是同样的查询HaveIBeenPwned有时更准。

谷歌密码管理器

如果你使用的是谷歌浏览器,它内置了一个密码管理器,它的安全检查可以检查保存在浏览器中的密码是否遭到了泄露。

谷歌密码安全查询

需要说明的是此项检查只能是使用了谷歌浏览器,并且他检查的只是浏览器中个保存的密码,与前面的查询网站相比,谷歌的这项检查只是告知你密码出现在了数据泄露事件中,但不罗列出具体哪个网站或是哪个遭泄露的数据库。

谷歌密码安全

被泄露了怎么办

近些年数据泄露事件时有发生,对于用户而言这样的结果往往是无奈的,这些查询网站最重要的作用也仅是给你敲个警钟,如果你发现资料被泄露了,比如手机号什么的,除了改一下手机好似乎也别无他法了,只能是在今后的上网过程中,在注册账号时候尤其是那种小网站,尽量不要填写真实信息。

1
提供临时验证的邮箱

为了保护个人隐私,对于一般的网站,如果你不想用真实信息,比如就是为了一个验证码,可以使用一些专门的临时邮箱来注册账号。阿刚这里推荐一个超好用的snapmail

Snapmail是一个提供临时邮箱的在线网站,它与一般临时邮箱不同的是可以自定义前缀地址,换句话说你可以生成无数个临时邮箱,相较于其他同类固定不变的临时邮箱,snapmail的体验显然更好。

Snapmail

snapmail访问后默认会自动帮你生成一个临时邮箱,在这里可以收取邮件,关键它很少会被一些服务商的注册判别为垃圾邮箱,使用的体验总体来说非常棒。另外特别要注意的是,因为邮箱是保存在你浏览器中的,任何知道你邮箱的人都可以访问

2
使用临时手机号码

注册账号总需要手机号接受验证码,现在一些云平台的手机号可以接受云短信,比如下面这几个:

  • http://www.z-sms.com/
  • https://www.materialtools.com/

在线云短信

此类网站使用简单,基本上提供了各个国家的手机号,可用于注册账号时接受验证码短信等,请注意这里的短信都是公开可见的,因此只能用于一些APP或者不重要的网站注册,可别用于任何重要平台。

3
建立属于自己的密码体系

撞库之所以可以成功,主要在于一般用户安全意识薄弱,简单的密码根本形同虚设,而多网站共用同一密码,只要任一网站被泄露,就会被撞库成功。因此,在密码安全方面,每个人都应该建立一套属于自己的密码体系,既富有个性的规律,同时密码安全性又可得到保障。

这方面阿刚在17年曾分写过专门的文章介绍《密码太多记不住?你可以建立一套属于自己的密码体系》

最后总结:

近些年的数据泄露事件不断提醒着我们,隐私安全至关重要,任何人都应提高警惕。在日常生活中,尽量避免主动泄露个人数据,同时加强密码防护,定期更换密码,这样即便不能杜绝数据泄露事件,但当事件发生后,也能将风险降至最低。

其实在隐私这方面,你一个人的数据一文不值,值钱的是千千万万的你的数据,希望在企业搜集个人用户信息方面,政府能够加强监控。

17 条评论

  1. 还有多久

    :tangletd: :mrgreen: :mrgreen: :mrgreen:你好

  2. wuhaha

    求刚哥关注。希望可以发一份Split Engineering Split-FX v2.4.4.4破解版 这个软件给我。以前的名:wuhaha。

  3. wuhaha

    我的评论一直提示有问题无法提交呢

  4. 花落

    据说腾总的也被泄露了 :shock:

    1. 阿刚同学

      @花落 是的,所以我今天发的这篇文章微信直接给我删了 :joy:

  5. 『VV-ALK』

    麻烦邮箱发我下Adobe Photoshop 2020绿色精简收藏版的地址,万分感谢!!!!

  6. 粉丝2

    刚哥, 网盘的 RAR 下载成功后都说是 unknown format 或者 damaged,.
    是需要特殊处理还是什么? :cry:

    1. 阿刚同学

      @粉丝2 把它的后缀改成压缩包的格式就好了~

      1. 粉丝2

        @阿刚同学 本来下载完就有后缀的啊 :joy:

        1. 阿刚同学

          @粉丝2 换高版本的解压工具

          1. 粉丝2

            @阿刚同学 winrar 4.1 太低是吧? 嗯。那我找找看新版本

  7. 走走停停

    阿刚微信推文怎么被删了?

    1. 阿刚同学

      @走走停停 马化腾说违规了~不让说~ :joy:

  8. 阿揪

    感谢 :cute:

  9. xxp

    阿刚,有EmEditor那个什么版吗? :funny:

    1. 阿刚同学

      @xxp 你去官网下载安装包,然后用密钥可以激活
      终身授权激活密钥:DMAZM-WHY52-AX222-ZQJXN-79JXH

      1. xxp

        @阿刚同学 感谢阿刚

评论载入中,请稍等...