話說(shuō)，這種黑市調(diào)查行動(dòng)，必先“出賣”同事的信息。

2月16日，央視新聞?lì)l道報(bào)道了記者親身體驗(yàn)購(gòu)買個(gè)人信息服務(wù)，揭秘個(gè)人信息泄漏黑市狀況的新聞。

先來(lái)還原下主要情節(jié)：

1.經(jīng)過(guò)同事小王的授權(quán)，2月4日中午12點(diǎn)06分，記者把小王的手機(jī)號(hào)提供給了網(wǎng)名為“孤星淚”的賣家 ，要求查詢小王的身份信息，對(duì)方的要價(jià)是220元。

2.下午2點(diǎn)56分，對(duì)方發(fā)來(lái)了一張截圖，上面有小王的照片、身份證號(hào)碼、戶籍所在住址、民族、所屬派出所等，經(jīng)過(guò)核對(duì)，與小王的身份信息完全一致。隨后，對(duì)方表示還可以查詢其他關(guān)聯(lián)信息，包括出入境信息、名下機(jī)動(dòng)車信息和違法犯罪記錄等。記者提出要查詢小王名下的車輛信息，僅過(guò)了二十分鐘，對(duì)方就發(fā)來(lái)了信息截圖，內(nèi)容包括車輛的型號(hào)、車牌號(hào)、車架號(hào)、發(fā)動(dòng)機(jī)號(hào)等，完全屬實(shí)，這一次的要價(jià)是50元。

3.記者隨后要求查詢小王的“淘寶”送貨地址，對(duì)方要價(jià)130元，網(wǎng)上付款兩個(gè)小時(shí)后，對(duì)方給記者發(fā)來(lái)了小王所有“淘寶”購(gòu)物的送貨地址，包括畢業(yè)前的學(xué)校地址和送貨現(xiàn)在的實(shí)際住址，小王確認(rèn)全部符合實(shí)情。

4.QQ群里出售的個(gè)人出行軌跡中，包括滴滴打車記錄，每一張出行記錄清單的要價(jià)是55元。記者向一名信息販子提供了小王的手機(jī)號(hào)碼，兩個(gè)小時(shí)后，對(duì)方發(fā)來(lái)了一張滴滴打車清單，時(shí)間顯示為2016年11月份到2017年1月份，內(nèi)容包括這三個(gè)月內(nèi)小王每次打車的詳細(xì)記錄，從哪里上車，從哪里下車，上下車的時(shí)間精確到秒，包括取消的訂單也全部記錄在內(nèi)，小王把這張截圖里的出行記錄和自己手機(jī)里的打車記錄進(jìn)行了對(duì)照。

……

5.記者向網(wǎng)名為“水中取火”的信息販子支付了1500元，要求查詢小王的手機(jī)通話記錄。第二天，記者被告之通話記錄已經(jīng)拿到，對(duì)方發(fā)來(lái)了一張截圖，上面是2016年9月到2017年2月份共6個(gè)月的通話記錄，在總計(jì)一千多個(gè)通話記錄中，詳細(xì)記錄著每次通話的來(lái)電與去電號(hào)碼，通話時(shí)間、通話時(shí)長(zhǎng)以及每次通話的話費(fèi)。

以上引文信息均引自央視網(wǎng)報(bào)道。最后，在該文中，記者還試了手機(jī)定位服務(wù)，也成功了。

從上述可知，身份信息、打車信息、淘寶信息、通話記錄及定位信息均一覽無(wú)遺。那么，央視記者從該黑市獲得的這些信息是如何被泄露的？

雷鋒網(wǎng)編輯與安全圈相關(guān)專業(yè)人士取得了聯(lián)系，請(qǐng)他們就央視上述報(bào)道中出現(xiàn)的截圖和材料進(jìn)行了一些“不負(fù)責(zé)任”的推理與分析。

首先，擺上最重要的幾點(diǎn)猜測(cè)：

1.身份信息如何獲得的？

從相關(guān)截圖看，這是某有關(guān)權(quán)威部門的系統(tǒng)截圖，所以，你懂的。

2.打車記錄如何拿到?

可能途徑一：內(nèi)鬼作案；

可能途徑二：黑產(chǎn)人員通過(guò)打車軟件漏洞獲取了后臺(tái)數(shù)據(jù)。

3.淘寶記錄如何被泄露？

通過(guò)撞庫(kù)等手段直接獲取了淘寶賬號(hào)登錄。

4.語(yǔ)音通信詳單、手機(jī)定位信息如何被拿到？

可能途徑一：利用黑客手段使用運(yùn)營(yíng)商的接口；

可能途徑二：內(nèi)鬼。

匿名人士一

雷鋒網(wǎng)：1.手機(jī)定位是如何做到的？

匿名人士一：這是運(yùn)營(yíng)商基站數(shù)據(jù)定位，應(yīng)該是運(yùn)營(yíng)商和不可說(shuō)的相關(guān)部門的系統(tǒng)。

雷鋒網(wǎng)：2.也就是說(shuō)，有人和內(nèi)部人士串通嗎？除了這種方法，有沒(méi)有可能通過(guò)一些入侵手段實(shí)現(xiàn)？

匿名人士一：不排除這種可能，那么多人都在賣，而且很穩(wěn)定，所以內(nèi)鬼的可能性較大，主要是里面有明確的不可說(shuō)的相關(guān)部門的系統(tǒng)截圖。

雷鋒網(wǎng)：3.意思是，話單、定位，包括打車，都是內(nèi)部人士搞的數(shù)據(jù)嗎？

匿名人士一：是的。打車紀(jì)錄看去來(lái)像后臺(tái)數(shù)據(jù)，淘寶那個(gè)看起來(lái)還像是社工庫(kù)搞定了淘寶賬號(hào)，因?yàn)榈顷懙氖鞘肇浀刂饭芾斫缑娼貓D。

匿名人士二

里面有幾個(gè)問(wèn)題，這么密集的數(shù)據(jù)泄露肯定不完全是黑客入侵?jǐn)?shù)據(jù)導(dǎo)致的，政府監(jiān)管側(cè)的問(wèn)題很大，假如說(shuō)戶籍在基層派出所可以查詢到，那么手機(jī)號(hào)碼的定位、打車等數(shù)據(jù)那肯定不是這么低級(jí)別可以查得到。國(guó)家肯定有要求并會(huì)對(duì)這些互聯(lián)網(wǎng)公司的數(shù)據(jù)進(jìn)行監(jiān)管，監(jiān)管部門的問(wèn)題比較大。

匿名人士三

有幾種可能性：1.內(nèi)鬼；2.有未被公開(kāi)的打車軟件或其他的漏洞、接口被利用。此前，某運(yùn)營(yíng)商就被曝光通過(guò)漏洞可以查詢?nèi)我馐謾C(jī)的通話記錄，也有過(guò)定位接口。

其實(shí)，很多東西和數(shù)據(jù)只是明面上沒(méi)公開(kāi)，大家不知道。

黑市有很多利益鏈條，其實(shí)幫查詢一個(gè)人的地址等信息，對(duì)相關(guān)系統(tǒng)的人而言，就是很順手的事，并且基本不會(huì)被發(fā)現(xiàn)。

如果說(shuō)比較有技術(shù)含量的地方，就是其中一些數(shù)據(jù)是通過(guò)黑客手段拿到的。但是，我覺(jué)得類似這種試試定位的，很難說(shuō)一個(gè)人可以一直維持這樣一個(gè)接口或者漏洞不被發(fā)現(xiàn)。

央視這一報(bào)，估計(jì)又來(lái)一波打擊黑產(chǎn)了，估計(jì)又有一些人要跑路了。

－－

最后，雷鋒網(wǎng)編輯要強(qiáng)調(diào)的是，央視網(wǎng)報(bào)道中顯示，央視記者已向警方報(bào)案，一切以警方調(diào)查結(jié)果為準(zhǔn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。