破解帳戶後,黑客重現如何榨幹用戶的最終價值
CSDN,天涯等數據庫被拖引發了全民網絡擔憂,那麽黑客拿到這些隐私秘密後會怎麽用呢?他們會如何由點到面榨幹一(yī)個用戶的最終價值呢?一(yī)位匿名黑客從筆者已被洩露的天涯賬戶開(kāi)始,理想化的重現了這一(yī)過程(@騰訊科技):
1 在獲取筆者的天涯賬戶後,黑客首先嘗試了關聯的網易郵箱,由于筆者的網易郵箱密碼與天涯賬戶相同,對方毫不費(fèi)力進入了郵箱。
2 進入郵箱後,對方獲得筆者曆年來注冊開(kāi)心網、智聯招聘、中(zhōng)華英才網、前程無憂、快錢、百度、百付寶、校内、京東、新浪微博的确認郵件。其中(zhōng)智聯招聘、中(zhōng)華英才網、前程無憂、京東的注冊确認郵件中(zhōng)直接顯示會員(yuán)名及密碼。其餘幾個網站除開(kāi)心網及快錢外(wài)均與天涯賬戶密碼相同。但因開(kāi)心網及快錢密碼與京東密碼相同,也被猜中(zhōng),至此以上網站密碼全被攻破。
3 通過前程無憂,獲知(zhī)筆者QQ号碼,真實姓名,身份證信息,收入情況和生(shēng)日等重要信息。
4 嘗試破解QQ号碼,盡管筆者的QQ密碼與以上各網站密碼完全不同,但黑客依據真實姓名全拼、生(shēng)日、手機和之前各類密碼的組合方式,迅速暴力破解成功。進入QQ郵箱,獲得筆者在豆瓣、淘寶、網易戰網的注冊确認郵件,暴力破解淘寶及支付寶密碼成功。
至此,一(yī)個天涯賬号的洩密變成了一(yī)個自然人從虛拟到現實全方位的洩密,據匿名黑客介紹,已經從筆者身上獲得的信息可以反複銷售數次:虛拟貨币的賬戶賣給專人直接變現;網絡遊戲的賬号賣給專人将虛拟物(wù)品變現;個人資(zī)料賣給各個推廣公司、調研機構(根據性别、年齡、收入、地域可賣給不同行業);私密關系賬戶可賣給騙子集團牟利(QQ、人人網或朋友網);天涯及微博早年注冊的ID可賣給網絡水軍公司……
該匿名黑客稱,除非有高價人肉搜索的單子,否則自己不會人工(gōng)去(qù)做這些工(gōng)作。但天涯和CSDN的數據庫曝光太久,恐怕其中(zhōng)大(dà)部分(fēn)人的隐私早已被窺探出售過。
看到這裏,我(wǒ)想朋友們應該要更加有意識的去(qù)保護自己的隐私了。剛剛不久前曝出的“SAE 托管的 XWeibo 用戶信息及 appsec、數據庫密碼等信息洩露”漏洞就很有可能洩漏了許多用戶敏感信息,安全人士@xslidian上傳了一(yī)張可獲取的信息圖,并且表示自己已經“把微博上啓用的第三方App應用都給取消授權了”。