數據全裸時代,你的隱私有多容易獲取?
- 2019 年 10 月 4 日
- 筆記
大家好我是痴海,一位轉型做增長的爬蟲師,由於工作的緣故,對於身邊許多資訊都非常敏感。上個月朋友圈有很多人都在曬四六級成績,有人歡喜有人憂愁,而我卻感受到深深的恐懼。
2018 年騰訊手機管家在一個報告中公布了一個數據:在 2017 年檢測到惡意網址 2837 萬,攔截惡意網址 1067 億次,全中國平均每人每年要被惡意攻擊 76 次。
互聯網方便我們生活的同時,也讓大家的隱私無處隱藏,你任何上網的舉動都會被某台伺服器給收集。你的愛好、喜歡的愛豆、常逛的網站、購物的資訊、每條聊天記錄,都化為一條條位元組數據隱藏在互聯網各個角落。
歡迎來到數據全裸時代,你的隱私有多容易獲取?
我們就從如何獲取一個學生的四六級成績說起。
根據公開資訊顯示,2018 年全國高考報名人數 975 萬,錄取率 81.13%,新生人數 791 萬。只要這 791 萬新生,有人參加了今年的四六級考試,花點時間他們的四六級成績,都可以被人查到。不用黑掉任何網站的後台,只需要通過網上公開資訊,就可以拿到百萬考生的四六級成績。
要怎麼做?
看完下面的思路,你可能會覺得很簡單,但這背後卻讓人心生不安。
首先學生想查看自己四六級成績需要兩個資訊:1 姓名;2 准考證號;然後去中國高等教育學生資訊網,輸入相應的資訊即可查看。
所以如果你想要查看一位學生的四六級成績,只需要知道姓名和准考證號即可。對於在同一所學校的同學來說,想要獲取同校人的姓名是件非常簡單的事。QQ 群、貼吧、朋友圈、身邊的同學多問幾個消息源就很容易獲取。
不僅僅是姓名,甚至你的身份證號、家庭地址、電話號碼都會全部暴露。在大學裡大家都會有自己本系的群,輔導員時常會在群里發各種通知和文件,而這其中不乏全系學生的詳細資訊表。我自己還在上大學時,輔導員不知多少次把我們本系的學生資訊隨意就在群里上傳,你的身份證號、電話號碼、父母姓名、家庭住址全部裸露在同學眼裡。
在學校里知道你身份證號有什麼用?來看下一位讀者和我說的話。
但不管在座的各位是已經出來工作的人士,還是還在上學的學生,想要獲取任意一個學校學生姓名的名單,是件和喝水一樣簡單的事。因為有很多學校會把錄取學生的資訊,放在自己的官網上。下圖就是我在網上隨便搜索某個大學,找到的藝術類 2019 新生名單。
姓名知道了,我們現在就差一個準考證號就可以知道某位同學的四六級成績。
我們要如何知道一位同學的准考證號?
很簡單,這世界是由無數種規則組成,知道了規則你就是上帝,俯瞰一切。一場百萬新生參與的英語考試,他們的准考證號一定是由某種規則組成的。隨後我在網上搜索了四六級准考證號是由什麼組成,就得到了非常關鍵的資訊。
英語四六級准考證號一共由 15 位組成,知道了組成的規則,我們就擁有了上帝之眼,就可以知道任意一位學生的准考證號。
我在教育部網站上找到了全國高等學校名單的 Excel 表,全部都是公開資訊任何人都可以下載。而表格中的學校標識碼後 5 位就是學校程式碼。
現在我們就可以重新定義一個四六級准考證號是由什麼組成。
上圖大家就可以很明顯的知道,要想知道 2019 年某個學生的准考證號,我們目前唯一不能確定的就是校區程式碼、考場號以及座位號。而這三部分非常容易利用程式碼,全部列舉出所有的結果,接下來就是最重要的一部分。
用程式去模擬准考證的規則,請求網站介面,獲取相應數據。
網站在查詢成績時會向伺服器發送請求,然後會返回相應的成績數據。通過模擬介面,發送請求我們就可以獲取對應的資訊。隨後我通過抓包軟體找到了四六級成績請求的介面,並驗證了資訊的準確性。
上圖是我輸入某位同學的姓名和准考證號,發送請求得到的四六級資訊,查詢到的資訊和圖片顯示完全一致。
知道學校名稱,擁有了學生名單,明白准考證號組成規則,只需幾行程式碼我們就可以去撞任意一位學生的四六級成績。
四六級成績獲取的方式可以用黑客中一個詞語來形容:撞庫。
撞庫是黑客通過收集互聯網已泄露的用戶和密碼資訊,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在 A 網站的賬戶從而嘗試登錄 B 網址,這就可以理解為撞庫攻擊。
而我是收集網上各種公開資訊,利用准考證號的規則,通過程式模擬發送請求,窮盡所有結果,對某位同學的四六級成績進行撞庫。只要你花點時間,收集到相應的資訊,即使別人不把姓名和准考證號透露給你,你完全有辦法自己查詢到。
而四六成績就像大家的隱私一樣,任何人多花點時間都可以把你的隱私數據全部查找出來。
一張照片能出賣了你多少隱私?
現在的人熱衷在社交軟體上曬自己的心情和各種照片,但有太多的人不知道如何保護自己的隱私,一些關鍵的資訊根本不打碼,分享的圖片也不進行處理。而有時候往往就是這些小的細節把你個人隱私暴露。
一張圖片足以暴露你的家庭地址。
我們繼續來看一個大家天天都會使用的軟體「微信」,我向自己的好友做了個實驗,叫他隨意發一張身邊的風景照,並用清晰度不高為理由,叫他把原圖發給我下。而就是這樣不經意的舉動他已經把自己的家庭地址暴露給我了。拿到照片之後,我在微信上隨意找了個 Exif 資訊查詢小程式,就得到了他的拍攝時間、詳細地址。
平時喜歡曬自拍、秀恩愛、曬娃、曬狗、曬貓、曬各種生活照片的你,是否感受到深深的恐慌?一張無意間分享出的照片竟然會把地址暴露出來?這是為什麼?
這其中的關鍵就在於照片文件里有一個 Exif 資訊。
Exif(Exchangeable image file format)可交換影像文件格式,是專門為數位相機的照片設定的,可以記錄數碼照片的屬性資訊和拍攝數據。通過 Exif 可以查看到:
這些 Exif 查詢工具隨處可見,通過它可以精確定位到具體某一棟樓,並且通過高度資訊,結合當地的海拔高度,甚至還能推算出對方住的樓層。
大家一定要切記,如果並非自己身邊的熟人,一定不要把原圖輕易分享給他人。人心是最難猜測。一張圖片就把你家庭地址資訊給暴露,這是件多麼可怕的事。有了你的詳細地址,那些不懷好意的人不知道能做出多麼瘋狂的事。
生活中還有非常多能拿到你隱私的方法,而今天給大家展示的隱私泄漏的案例,只是數據全裸時代的冰山一角,冰山之下還有很多你不知道的世界。
泄露隱私的正是你在日常中不經意的小舉動,不僅如此還有更多你不知道的隱私泄露方式,防不勝防:
個人資訊倒賣早已形成完整的黑色產業鏈,隱私泄露的渠道日益複雜、隱蔽。也許你的資訊已被倒賣好幾次,卻渾然不知。
如何防止個人資訊泄漏
那在我們日常生活中要如何保護個人資訊隱私呢?這是一個很難回答的問題。很大一部分原因是即使你非常注重個人隱私,也非常容易獲取到你的隱私資訊。公司之間共享和交易數據的行為表明,他們無論如何都會得到你的個人資訊數據。今天你在網路上的每個行為都有可能提供給推薦演算法。
不過你可以通過一些方法來幫助自己,將資訊泄露程度降至最低。你對數據的提取和使用方式了解得越多,你就能更好地維護自己的數字隱私。
1 屏蔽你不需要的數據收集請求
在網上很多數據泄露的根源就是各種收集你資訊的網路請求,如果這類請求可以被識別和屏蔽,那麼你會在防止數據泄露這方面擁有一個良好的開端。最簡單實用的屏蔽工具就是互聯網瀏覽器擴展工具。
你可能對瀏覽器擴展工具這個詞感到很陌生,其實所有的主流瀏覽器,包括微軟、Google、火狐和蘋果公司的 Safari,都是可以添加各種第三方擴展程式的。它們從本質上來說是在瀏覽器內工作的小程式。
但很不幸,聲稱可以屏蔽廣告和保護個人隱私的擴展工具五花八門,讓人們不知如何選擇。這裡推薦 IT 諮詢公司 PivotNine 的首席分析師 Justin Warren 說的話:「安裝隱私保護插件,如 Privacy Badger,Ghostery 和 uBlock Origin ,可以屏蔽追蹤器和廣告軟體。」這三種軟體在隱私保護方面都享有很高的聲譽。
2 學會清理數據資訊
你應該經常檢查自己的隱私設置,關閉不使用的功能,註銷掉那些已經不經常使用的網站帳號。你現在還能回憶起你曾經註冊過哪些網站了嗎?這裡我已經幫大家整理好,中國主流網站的註銷方法,後台回復「隱私」即可獲取。
3 謹慎使用網站默認登陸方式
大多數時間保持網站或軟體登出狀態也是一種很好的做法。你要仔細考慮是否真的需要登陸網站。因為登陸此網站就表明你直接告訴這個網站你正在瀏覽它,那麼世界上所有的隱私保護技巧都將變得一無是處。
尤其中國現在很多網站都可以使用微信或者QQ便捷登陸,雖然通過社交媒體賬戶登陸其它網站很方便,但是你卻通過未知的第三方,將自己的隱私暴露了。不僅提高對方網站的註冊率,還同時讓網站獲取到你豐富的第一手資料。
所以我非常建議大家同時註冊些小號,郵箱。不要輕易泄露個人資訊,思考這些資訊是否必須填寫。在你的目的範圍內,儘可能減少你所要填寫的資訊。另外多使用小號,起碼可以避免一半資訊的泄漏。
最後以一個小技巧作為結尾
希望大家把這篇文章分享給身邊更多的人看
參考資料:
[1] https://m.qq.com/security_lab/news_detail_448.html
[2] https://www.jianshu.com/p/38d11cccfb53
[3] http://www.epochtimes.com/gb/19/1/16/n10978633.htm
[4] https://www.ifanr.com/app/1243239
[5] https://zhuanlan.zhihu.com/p/52518547
[6] https://zhuanlan.zhihu.com/p/34942812
[7] https://m.qq.com/security_lab/news_detail_448.html
[8] https://zhuanlan.zhihu.com/p/29703260
文章轉載自公眾號 痴海 , 作者 痴海
