從王寶強離婚中看出哪些個人資訊要保護!
【PConline資訊】王寶強離婚,作為敢搶奧運會頭條的男人,宋喆遭遇了圍追堵截。這次全民捉姦不僅是娛樂圈的狂歡,科技圈也神亂入了一下:
如果沒有廣大駭客技術愛好者的參與,狗仔們似乎也無法在幾天之內扒出宋喆的身世、愛好、住址、開房記錄,用體無完膚來形容毫不為過。
網友總結的宋喆個人資訊(保護公民隱私,敏感資訊已被打碼)
實際上,駭客們認真捉起奸來,可以獲得諸多讓人驚訝掉下巴的奇異資訊。暫時拋開法律和德因素,頂級駭客告訴你,究竟怎樣人肉一個人呢?或者從反面來說,如果你不小心愛上了明星的媳婦而成為了全民公敵,如何避免被人肉的悲慘遭遇呢?
以下是乾貨!擁有傲人娛樂氣質和專業駭客精神的安全研究員——360 網路攻防實驗室老大林偉,這麼說!
一、iPhone——隨身攜帶的定時炸彈
憋說話,掏出你的iPhone(如果你有的話),打開:設置—隱私—定位服務—系統服務—常去地點
看到了沒,讓我猜猜,你去的次數最多的地方是你的家,而排名第二的,就是你的公司。如果覺得不夠詳細,點進去還有地圖,就是這麼驚悚。
從王寶強離婚中看出哪些個人資訊要保護!
蘋果手機會默認開啟“常去地點”功能,完整記錄你的生活軌跡!
如果駭客搞到了你的iCloud 帳號,用任意一台iPhone 登陸,都可以獲得你常用的位置資訊。所以如果你成為了全民公敵,就不要驚訝為神馬第二天就有人在你家樓下堵住你的去路。
當然,事情原本可以不用這麼複雜,看到“查找我的iPhone”了嗎?
然而所有的資訊都建立在你的iCloud 被破解的基礎上。而iCloud 的安全性,很大程度上依賴於你的密碼強度還有密保郵箱的密碼強度。如果你的密保郵箱是網易,呵呵。
從王寶強離婚中看出哪些個人資訊要保護!
宋喆的郵箱用於找密碼的密保郵箱使用了相同的弱密碼,這導致駭客可以輕易修改他的郵箱密碼。
這一點都不可笑,宋喆的常用郵箱就是網易,這也是他被突破的關鍵點之一。從網上流傳的馬蓉自拍圖來看,這些圖片來源很可能是馬蓉或宋喆的iPhone 手機。這表示很可能已經有駭客攻陷了二人至少一部手機。
二、弱密碼——紙糊的門鎖
現實世界中的情況是,幾天之內宋喆的所有郵箱、人人網、某東帳號似乎都已經被攻破。駭客們是如何做到的呢?根據爆出的資訊,林偉為我們簡單地梳理了一下他被“社工”的步驟:
1、手機號、身份證資訊被網友通過社工庫洩露。(身份證上包含住址,但後來證明此居所已被出售。)
2、網易郵箱密碼被破解,牽連出背後的密保郵箱和其他常用郵箱。
3、利用郵箱登陸的人人網、豆瓣帳號被搞定。
4、與郵箱密碼相同或相似的某東、大眾點評、外賣App 被攻破。
5、某電商收貨地址暴露,導致藏身住址被扒出,被媒體圍堵。
我們來追本溯源,這一切的一切都始自於郵箱被破解。眾所周知,網易並不給力,曾傳言被拖庫(使用者資訊庫被駭客拖下來)。雖然官方否認,但多個渠證明在黑產中流傳著完整的網易郵箱的使用者資訊。
在黑產中流傳的網易郵箱密碼庫
正因為如此,才能在社工庫裡看到宋喆的郵箱密碼。然而有一件事必須說明,那就是網站被拖庫,並不意味著你的密碼資訊一定會被洩露。
科普一下:現在幾乎所有網站的使用者資訊都已經被“加鹽”,即所有的用戶名和密碼都是在加密狀態被存儲的。即使駭客黑進了網站伺服器,拿到了你的密碼資訊,也不能讀出明文,而是需要通過密碼字典破譯。破譯的難度和密碼的複雜度成正比。也就是說,如果你的密碼足夠複雜,以目前電腦的算力,仍然難以被破解。
事實上,看似精明的宋喆在網路安全意識方面還不及一個普通人,他的密碼之簡單令人髮指。確切來說,他的常用密碼只是自己名字的拼音,或者在前後加上自己的生日。這才造成了短時間內一連串帳號被破解的悲慘遭遇。
那麼問題來了,應該怎樣設置密碼才安全呢?
林偉表示,密碼應該和電影一樣,至少分為三級:
第一級:iCloud 密碼、某信 某Q 密碼、某寶密碼,應該設置十位元以上,數位字母符號混排的無意義字元(如果你喜歡記憶有語義的密碼,可以採用一個技巧,那就是用0代替o,用1代替i,諸如此類。)
第二級:某東、團購、外賣等常用網站,設置八位元以上,數位字母符號混排的無意義字元。注意密碼排列不能和第一級密碼有部分重合,否則一旦破譯了二級密碼,可以直接以二級密碼作為字典,輕鬆破譯一級密碼。
第三級:一般網站,為了照顧自己的智商,可以採用容易記憶的相對較弱的密碼。同樣注意不能和其他兩級密碼有重複,否則極易功虧一簣。
從王寶強離婚中看出哪些個人資訊要保護!
三、某信朋友圈——潛伏+無間
你認識你的所有某信好友嗎?相信你一定會答“不”。那麼,你又怎樣確定自己的朋友圈裡是不是潛伏著一個無間呢?
如果你看到某信上有多年不見的老同學加你好友,看頭像還確實認識,你會通過驗證嗎?正常人十有八九會通過驗證。
然而事情的真相可能是:駭客通過你人人網上的公開信息和好友資訊,拿到了你的老同學的照片和基本資訊,然後躲在某信後面添加你為好友。
一旦通過,你的朋友圈便對駭客敞開了。想想看,你在朋友圈裡曬的每一張照片,每一個感想,都能成為駭客判斷你位置和性格的有力證據。
林偉說:大多數人在朋友圈發送內容的時候,都沒有很高的警惕心。如果在陌生人添加你為好友,並且看起來可信度比較高的時候,你最好先對他遮罩自己的朋友圈,然後添加好友,之後先查看對方的朋友圈,確定對方的身份可信之後,再對他放開朋友圈。
四、微博、人人網、豆瓣——再見,隱私
宋喆在事發後第一件事就是清空了自己的微博,看來他也意識到,自己在微博上發的資訊,都會成為對自己不利的“呈堂證供”。然而,他沒有在第一時間清空自己的人人網。(一般人確實很難在第一時間意識到還有人人網這個神器的存在。)這導致了駭客搶先黑進了他的郵箱,更改了他人人網的密碼。很可能他已經無法登陸自己的人人網帳號。
從王寶強離婚中看出哪些個人資訊要保護!
看起來,帝吧的朋友們已經佔領了宋喆的人人網。
你可能會問,宋喆為什麼不可以通過登陸郵箱把人人網密碼修改來呢?答案是,他的郵箱被曝光出來之後,已經有潮水般的網友在世界各地嘗試登陸,進入了異常保護狀態,任何人都已經不能嘗試登陸。另外,就算沒有這種人肉DDoS,之前提到,他的郵箱很可能已經被攻破並且改密,所以宋喆已經失去了對自己郵箱控制。
想想你都在人人網上做過什麼吧?這個已經有點過氣的社交平臺,潛伏著你的所有黑歷史。以宋喆為例,在人人網上,你可以公開查詢到他的生日、從小到大的學校資訊、他喜歡養狗、他的偶像是陳冠希、他的性格放浪不羈等等。
稍後會提到,在破解其他帳戶或郵箱的時候,這些個人資訊會作為密保問題的答案,扮演破解的重要角色。
王珞丹在微博中曬出的兩張圖片導致住所被網友定位
再來說說微博,假設被人肉者沒有第一時間清空,所有人都可以公開查看他發佈過的資訊。因為發微博被人肉的事情,已經屢見不鮮:
王珞丹曾經因為發佈了從視窗拍攝的圖片,被網友根據社區內景、視窗高度、光照情況,在幾小時內就定位到了她的社區、樓號和門牌號。
劉強東因為和女助理同時發佈了同一盆番茄的照片,從而被網友懷疑出軌地下情。
宋喆以自家鬥牛犬的名號開了微博,網友據此照片定位到了他生活的社區。
從王寶強離婚中看出哪些個人資訊要保護!
作為一名擁有頂級安全意識白帽子駭客,林偉也會在微博、人人網抒發情感,但是他有一些發佈微博的心得:
儘量不要拍攝包含過多信息量的照片,也儘量不要附帶地點資訊。儘量不要使用某些人才能懂的暗語,因為如果有人盯上你的時候,暗語很容易被破解。
五、小號——隱秘線索牽出驚天秘密
人在做壞事的時候,一般會使用小號。
從王寶強離婚中看出哪些個人資訊要保護!
宋喆在約姑娘的帖子裡,透露的並不是常用的網易郵箱,而是一個Hotmail郵箱
宋喆也明白這一點,所以在豆瓣約“群P”的時候,留下的並不是常用郵箱。但實際上,豆瓣把他的登陸郵箱和小號郵箱之間的關係聯繫了起來。
在註冊很多小號的時候,人們會選擇用一個獨立的郵箱,但是很多人往往不會新買一個電話號用來收驗證碼,即使有兩個手機號碼的人,也會選用生活或工作中的一個。這樣就會建立虛擬ID 和真實身份之間的聯繫。
有的人會有小號某Q,但是為了方便管理,往往會互相加好友,甚至拉群。在這種情況下,一旦某Q 密碼被攻破,就很容易牽出你的小號某Q。如果大小號使用相同的密碼,則很容易被一鍋端。
實際上,根據內部人士的爆料,宋喆的常用郵箱和小號郵箱使用了相似的弱密碼,這就導致了駭客直接沖進了宋喆的小號郵箱,看到了他黑暗的一面。
從王寶強離婚中看出哪些個人資訊需要被保護
宋喆的一個小號郵箱被匿名駭客攻破,未滿十八周歲禁止觀看!
不過,對於小號和身份的關聯,遠不止這麼簡單,林偉列舉了一些事實:
如果你使用同一台設備登陸過大號某信和小號某信,那麼在某信的大數據層面,就會為這兩個號碼建立一定的關聯。
如果你匿名用百度搜索過一些關鍵字,還是會有廣告彈出在你的設備上。這些都是在服務提供者的大資料中強制關聯的。
這樣說來,安全級別最高的小號使用規範大概如下:
1、匿名申請一張電話卡;
2、在專門的平臺上申請一個臨時動態郵箱;
3、以這個臨時郵箱作為密保郵箱,申請新的永久郵箱;
4、使用全新的專用手機登錄小號,並且不在其他任何設備上登陸小號;
5、兩部手機不能同時帶在身上,以防位置資訊重合,產生關聯;嚴禁開啟Wi-Fi,防止被釣魚定位。
相信我,如果宋喆用這種安全級別的小號約炮,全世界沒有幾個人能發現。
當然這種“高級小號指南”只是是玩笑。林偉概括了一下:如果想要用小號保護自己的隱私,就要盡可能做到虛擬身份和現實身份的割裂。
六、外賣,某東,淘寶——出賣你的收貨地址
公眾對於宋喆的“圍剿”,最終讓網路上的人肉變成現實中的人肉。媒體最終根據種種資訊成功堵截到了宋喆,這其中立功的關鍵,很可能是電商。
林偉相信,淘寶、某信這些巨頭企業對於使用者資訊的保護級別是很高的,一般不會出現洩露。不過,如果前文提到的密碼分級沒有做好,會導致撞庫的發生(駭客破解了其他平臺的密碼,從而用這些密碼嘗試登陸淘寶和某信)。
而例如大眾點評、餓了麼、某東這些平臺,其安全級別可能會弱於BAT 的“親生”平臺。
總之,電商資訊的洩漏,會產生一個致命的影響,那就是你的收貨地址。這些收貨位址真實性是非常高的,而且極可能包括“被人肉者”和親友的全部常用位址。
黑產中流傳的某東訂單洩露信
雖然娛樂記者沒有透露,但是林偉推斷,最終“線人”定位到宋喆的“藏身之所”(實際上是他為父母購置的新寓所),很可能是由於某個電商的收貨位址洩漏導致的。另外,如果宋喆的外賣軟體(例如美大、餓了麼)的密碼已經被駭客掌握,一旦他在藏身之處點了外賣,收餐地址會馬上出賣他。
從電商和外賣平臺洩露的資訊,還不止這些。例如有駭客爆料,宋喆的某東 購物 記錄裡,有大量的狗糧,因此判斷他可能會在早晚出門遛狗。
七、Wi-Fi——上帝之眼
你可能並不相信,只要你的手機一直打開Wi-Fi,理論上駭客可以採用一種方法,追蹤你的空間移動軌跡。
先來做個科普:所有的手機只要打開Wi-Fi,都會即時對外廣播自己曾經連接過的Wi-Fi 名稱,而只要在信號範圍記憶體在相同名稱的Wi-Fi,手機都會自動嘗試連接。
這是一個林偉都難以理解的奇葩行為。
林偉設想了這樣一種攻擊模式:
先在宋喆家門口,用隨意設備搜索Wi-Fi 信號,信號最強的即是宋喆家中的Wi-Fi,Mark 下Wi-Fi 名稱。
然後使用一種被稱為“大鳳梨”的Wi-Fi 信號發射器,對外發送和宋喆家同名的Wi-Fi 信號。
最後把“大鳳梨”放在宋喆有可能經過的地方,一旦有手機連接上Wi-Fi 信號,“大鳳梨”就會向控制者傳信號。
大鳳梨無線信號發射器
這樣的“大鳳梨”可以有許多個(如果你的捉姦經費足夠的話),佈置在社區車庫門口、樓門口,所有他可能會落腳的地點。這樣,就好像在城市中佈滿了攝像頭,只要收到信號,就表明被追蹤者(或者家人密友)經過了此地。(可以通過連接設備的名稱判斷連接者的具體身份。)
“大鳳梨”不僅可以提供虛假的Wi-Fi 信號,還可以提供真的Wi-Fi 功能。只不過,在這些“釣魚Wi-Fi”上傳輸的明文資訊,都可以被攻擊者一覽無餘。
由於這樣的攻擊方式是建立在Wi-Fi 的奇葩協議之上的,所以林偉也表示沒有太好的防禦方法。“在必要的時候才打開Wi-Fi,是一個無奈的方法。”
還有哪些奇葩走位
以上介紹了諸多在北京城“追逃”的方法。然而,遭遇人肉和社工的“全民公敵”有可能第一時間飛往國外。如何判斷一個人究竟是否“出逃”了呢?
“你聽說過 航旅縱橫 嗎?”林偉問。
航旅縱橫
很多經常坐飛機的童鞋都用過航旅縱橫,它可以完整呈現一個人所有的航班資訊。在過去的版本中,你只輸入自己的身份證號,就可以查詢自己的航程。同樣,你輸入別人的身份證號,也可以查看別人的航程。
林偉表示,在新版的航旅縱橫中,App 對查詢者的身份校驗變得更加嚴格,需要使用者上傳自己的身份證照片。他說:這種情況下,攻擊就比較麻煩了。因為你需要PS 一個身份證。
沒錯,審核人員是很難分辨一個身份證的真偽的。
“另外有閃付功能的銀行卡也有一個奇葩的特性。”,林偉補充,“如果你用NFC 設備去讀取它,會得到最近十筆消費記錄。這種攻擊只需要用設備在對方身邊掃描一下就好,那些娛記圍堵到宋喆時,不應該僅僅採訪,還應該用這樣的設備掃描一下他。”
從王寶強離婚看出哪些個人資訊需要保護
使用特定NFC設備掃描卡片,卡號、持卡人姓名和身份證號,還有最近十筆交易記錄都可以被讀取出來
林偉說,作為一個駭客,講究攻心為上。如果僅僅為了找到宋喆,那麼以上的技巧綽綽有餘。但是,人們更想要的是真相。而獲得真相的前提,則是宋喆和馬蓉兩人產生裂痕。
在林偉看來,網路上流傳的宋喆開房記錄,正是攻心的一種。客觀上來說,詳細到鐘點房的開房記錄,只有警方才能掌握。所以這份資料的來源似乎永遠不會有答案,警方自然也不會出面澄清。這樣的結果是,永遠無法有人證明這份記錄的真偽。進一步來看,假設這個開房記錄是駭客偽造,那麼在一定程度上就達到了加重二人相互猜忌的結果。
網曝宋喆開房記錄
猛然驚醒,原來駭客的最高境界,是在人的精神世界安插一個定時炸彈。
傳播正能量的時候到了,作為資深駭客,林偉深知法律和德的邊界。
用社工方法入侵他人的帳號是非法的行為,人肉他人也是不德的行為。之所以介紹這些攻擊方法,是因為在互聯網時代,每個人都面臨攻擊的威脅。知進攻的方法,才能更有效地防禦。
從這一點上來說,宋喆的血淚史至少教會我們三個理:
看好自己的老婆,別動別人的老婆;
看好自己的密碼,別動別人的密碼;
如果你老老實實的,也還沒有實現1個億的小目標,駭客也不會看上你的。
但是我們的個人資訊,一定要堅決保護。