區塊鏈:金色薦讀 | 微博數據泄露背后：用價值10元的加密貨幣即可“圍觀”隱私_區塊鏈適合什么人做

編者按：

1. 本文中的所有查詢到的敏感結果已經打碼，保護當事人隱私。

 2. 本人作者已將所有查詢到的信息刪除清空。

 3. 本文寫作較為草率，如有不準確希望理解，希望對大家的個人保護警惕起到拋磚引玉的作用！

3月19日上午，有微博名為“安全_云舒”的用戶轉發微博時稱：“很多人的手機號碼泄露了，根據微博賬號就能查到手機號……已經有人通過微博泄露查到我的手機號碼，來加我微信了。”

隨后，該網友在微博下的留言中進一步表示，他通過技術查詢，發現不少人的手機號已被泄露，當中涉及不少微博認證的明星、官員、企業家。“來總的手機號也被泄露了，我昨晚查過。”（“來總”代指微博CEO王高飛）

本文作者在19日下午親自體驗了一把泄露數據的灰產產品，已驗證密碼、個人敏感信息確實被暴露！雖然不確定是否是從微博暴露的，但是通過微博這一公開平臺，可以微博ID查出手機號。從而通過手機號關聯到更多密碼、個人身份信息。

我們總結了一些內容，希望能讓大家對個人隱私保護及密碼管理產生警惕，也希望大家能按圖索驥，查出背后團體的真兇。

金色相對論 | 胡繼曄：區塊鏈技術和行業發展本身需要完備監管機制:在今日舉行的金色相對論中，針對“兩會提案中區塊鏈相關領域觀察到了哪些方面變化”的問題，中國政法大學區塊鏈金融法治研究中心主任胡繼曄表示，與區塊鏈監管治理相關主要有三個方面：一個是區塊鏈技術和行業發展本身需要完備監管機制；其二是中小銀行等機構在應用區塊鏈等技術手段進行轉型升級過程中要加強監管；其三是關于防范數字貨幣金融風險。與監管相應的是行業標準的設立，目前區塊鏈技術發展尚處于初期階段，技術本身存在不足之處，在應用過程中不免引發風險。同時，區塊鏈技術與產業結合，也缺乏相應的技術應用標準和規范。清華大學教授、中科院院士王小云提出要“加快推動區塊鏈標準與技術規范，特別是區塊鏈安全技術標準與規范的制定”。上海市政協副主席周漢民建議出臺包括區塊鏈等信息技術驅動的數字經濟“安全基建”國家標準，這些思想都和我承擔的國家網信辦課題階段性成果的想法不謀而合，正在形成向網信辦的工作報告，將來希望能夠為立法和修法奠定堅實的基礎。[2020/6/2]

概述

本次數據泄露據說是由微博而來，在消息的引導下，我們找到了購買隱私數據其中一個根據地：電報（Telegram），通過電報按圖索驥、購買服務，摸清了灰產的整個服務架構。

金色晚報 | 1月7日晚間重要動態一覽:12:00-21:00關鍵詞：央行、教育部、SBI、蘋果

1. 央行深圳支行：央行貿易金融區塊鏈平臺業務量900多億元；

2. 教育部：我國將圍繞AI、區塊鏈等領域集中力量編寫一批新教材；

3. 司法部：探索推進“區塊鏈+公共法律服務”；

4. 彭博社：SBI和GMO成為全球最大加密貨幣礦場新客戶；

5. 波卡測試網Kusama已恢復出塊，Gavin Wood發文詳述Bug解決方案；

6. 蘋果將區塊鏈瀏覽器Brave推薦為“我們喜愛的新應用”之一；

7. 以太坊繆爾冰川升級后，出塊量接近歷史最高水平；

8. 河北省省長：促進區塊鏈技術應用及產業發展；

9. V神：以太坊2.0可能在Q1或Q2上線。[2020/1/7]

交易流程概述

1.加入電報

2.找到售賣機器人

3.機器人分享報價和交易方式

4.選擇交易

5.機器人給出比特幣/ETH數字貨幣地址

6.打款后，機器人為電報賬號充值積分

7.利用積分查詢

該系統是“積分機制”，即你通過數字貨幣為該灰產充值，則電報賬號在灰產的賬戶中會多一些積分。使用積分可以查詢各種服務：

分析 | 金色盤面：ETC短線強勢補漲:金色盤面綜合分析： ETC屬于補漲品種，這段時間個幣輪漲，今天的明星當屬ETC，從2小時K線圖看，這里維持多頭趨勢，但上方的黃金線壓力應該注意。[2018/9/4]

作者親測， 0.358  ETH = 260積分，10積分可以做一次普通查詢，則相當于 0.0138 ETH一次，約等于10元一次

 服務流程概述

1. 選擇批量查詢→機器人批量輸出名單（每次100個左右）。包括：微博賬號、郵箱、密碼 等信息

2. 選擇根據微博賬號查詢→給機器人輸入微博主頁的Oid→機器人輸出結果。包括：綁定QQ、綁定手機、微博主頁地址

輸入綁定QQ，機器人輸出真實姓名、老密信息（密碼）、姓名、手機、郵箱、QQ關聯賬號、QQ密碼

輸入綁定手機，機器人輸出真實姓名、老密信息（密碼）、姓名、手機、郵箱、微博賬號、微博綁定手機

3. 直接查詢真實姓名：機器人輸出老密信息(密碼)、身份證姓名、性別、其他信息、地址

金色財經現場報道 中國銀行原副行長王永利：區塊鏈應該解決更多現實問題:金色財經現場報道，在2018全球首屆萬國區塊鏈技術博覽會上，中國銀行原副行長王永利進行《區塊鏈、數字幣需要關注的核心問題》主題演講。他指出： 區塊鏈的發展應該更多的解決現實世界的實際問題，不能盲目追求完美而脫離現實；比特幣只是區塊鏈的一種實現方式，而不是區塊鏈的唯一范式；互聯網區塊鏈的運行，最關鍵的就是要確保能將現實世界的資產或價值、各種物理的單證憑據影像等高效準確的信息化推送到線上運行，并從源頭上確保其合法性、真實性、準確性、完整性。未來，區塊鏈的研究會有兩個方向，一個是底層研究，注重計算機互聯網、信息互聯網、實物互聯網；二是應用層面，我們可以有積分、Token的模式，但不要再挖礦、造幣，因為很難落地。[2018/4/21]

4. 直接查詢身份證號：機器人輸出身份證號和真實姓名

總結

這次的灰產產品有如下幾個特征：

1.可信性極強：整個流程中，歷史上被撞庫的密碼，通過身份證、真實姓名、郵箱、手機號、QQ號被關聯，因此準確程度比以往的庫都要強大一些

金色財經獨家分析 挖礦事關電力 也關于預期:今日《證券時報》刊文指出挖礦受到電力成本、硬件成本的影響；摩根士丹利分析師也指出了8600元的挖礦平衡點。金色財經分析，電力作為挖礦成本的可變成本是決定挖礦收益的主要因素，所以挖礦賺不賺錢主要看電費。其次硬件成本，作為固定投入，硬件迭代更新太快，設備的投入已經開始從一種資產慢慢變成一種“低值易耗品”。整個挖礦的行業也不能完全以傳統行業標準來審視了。需要指出，礦工挖礦確實受到幣價的波動的影響，但是作為加密貨幣生產商來講，價格短期漲跌對于產量幅度影響還是一方面，在虧損的時候，還是可以繼續生產的。而且礦工有理由在價格不利生產的情況下囤積貨幣，在行情有利的情況下賣出獲利。[2018/4/20]

2.人人危機：本次引爆點是通過微博公開的OID查詢到個人手機號和身份證，因此任何人都可以再通過手機號查詢到他人密碼，從而完成對任何人的資產攻擊！下文將介紹實例。

3.自動化強：在流程中，灰產作者很好的利用了以下三個工具完成了身份匿名:

Telegram，匿名通訊

Telegram的自制機器人，完成自動交易

BTC/ETH等數字貨幣，且為每個用戶單獨生成地址，便于洗錢和反偵察

詳述

交易詳述

先在Telegram找到社工群，與電報機器人聊天。

獲取通過數字貨幣給機器人充值的地址：https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76

充值成功

交易流程

貼吧/QQ/微博/LOL查綁（每次30-80分）

輸入手機/貼吧ID/微博ID/QQ/LOL 互相查詢對應綁定信息。

此灰產工具宣稱自己是“全網獨家數據”，外面的查綁基本都是在機器人查詢的。請注意該查詢非實時綁定信息。

支持QQ查手機/手機查QQ，微博uid查手機/手機反查微博，貼吧賬號查手機/手機查貼吧賬號，LOL昵稱查對應QQ、手機、姓名等。

微博ID就是微博用戶主頁后面的數字，有些用戶是個性域名，可以進入主頁右鍵查看源碼，如下圖oid即為微博ID。

舉例：查名人微博

1.我們先去李X樂老師那里，右鍵打開“源碼”模式，獲取到李老師的OID：

2.根據李老師的OID，去查詢具體信息

3.拿到了手機號，就可以通過[精準查詢]查詢密碼了。此處作者使用自己的手機號查詢：

可以看到，通過手機號查詢，我已經暴露了自己的多個密碼、真實姓名！

獵魔查詢

獵魔查詢即列表模糊查詢，是來自網的一種業務，現在在機器人也可以查詢了。

該功能旨在尋找知道姓名，性別及大概位置的人的身份證號碼。灰產宣稱自己機器人已覆蓋全國50%以上優質人口數據（以社會知名人士測試綜合命中率已高達70%以上），

獵魔查詢分為三種查詢模式：模糊查詢，精準查詢，占位符查詢

模糊查詢

查詢方式為輸入真實姓名，根據提示點擊按鈕進行查詢。輸出結果后，可以選擇性別/省份，這兩個選項為必須項，不選擇無法查詢，也不會扣分。如果該省內重名少于50結果，將直接顯示全部結果并扣費，如果命中人數過多，你需要繼續選擇年齡，月份。

精準查詢

查詢方式為輸入真實姓名以及身份證內任意連續的數字，機器人出現獵魔查詢按鈕。點擊按鈕進行查詢（查到結果扣分，未查到前不扣）

通過精準查詢，灰產可以根據你的其他信息（出入地等），鎖定個人身份，從而查出你的更多信息。

信息查詢（每次1-10分）

大部分信息在這都可以查到，結果包含[密碼查詢]、[同密碼]以及[貼吧綁定]，可以查詢快遞，開房，戶籍，地址，身份證，手機，郵箱，賬戶，密碼等等

1.身份證自動提示歸屬地，年齡等信息

2.手機號自動提示歸屬地&機主姓名

3.地址自動匹配高精度定位結果

4.Hash自動破解成功率更高

5.去掉只有一條結果的信息

通過連續的Join（關聯），還可以查出來：

1.QQ/手機查名

2.輸入手機/QQ號碼查詢號主姓名

3.群關系

最搞笑的“隱私保護”功能

這是最為搞笑的：一個售賣公民隱私數據的產品，居然還主打“隱私功能”！！

你花錢使用了屏蔽功能后，本功能會匿名存儲該關鍵字, 非刪除數據。屏蔽功能僅支持在本機器人中隱藏私人賬戶，屏蔽后任何人都無法查詢。屏蔽后仍會模擬正常查詢流程，其他人無法察覺已被屏蔽，正因如此，由于群關系隨處可查，故群關系數據不在屏蔽列表中。

寫在最后

我們相信目前所有互聯網服務，基于目前中心化的架構，出現數據泄露問題是必然的，是個概率性事件。

充耳不聞并不管用，你的賬號還在，不說明你的安全做的好，只能說對黑客還沒有價值——因為很多已經暴露的信息永遠暴露了，且可以通過關聯技術指數級增強確定性！

廢話少說，大家都去改密碼吧。

本文作者：Phala Network CEO 佟林

Tags：區塊鏈BSP數字貨幣ETH區塊鏈適合什么人做BSPT幣數字貨幣平臺詐騙案例togetherbnb游戲官網

火必APP