从昌昌4到青纳3,你们pick的小哥哥在吗?虽然鼓励理性追逐,但很多出道的小哥哥姐姐在接受媒体采访时吐私生饭,影响私生活。无聊甚至不停止用手机发短信,真是太可惜了。
其实,偶像们的手机号很有可能是自己不小心泄露出去的。现在网上有很多明星的工作邮箱,这分分钟可能导致自己的手机账号泄露!还有一些热爱大自然,喜欢收集种子的朋友们也喜欢在网站论坛乱留自己的邮箱地址,请注意,这就是你泄露个人隐私的开始。
这一期,小池就来讲解如何通过邮箱反推电话号码。小池在做这一期节目的时候发现,大部分互联网大厂,对电话号码保护的方式都是错的!请大家看完后一起转发和传播来推动大厂们对于这个问题的重视。保护个人隐私,我们人人有责。
首先,如果单凭猜测,11位数字的手机号码,理论上有1000亿个号码,你去猜一千亿分之一的概率,几乎和你PICK的小姐姐偏偏也只喜欢你的概率是一样的。
我们绝大部分人生活中会使用私人手机号和邮箱来绑定各种网站。而且因为懒,我们在所有网站注册的,都很有可能是同一个邮箱。毕竟我们大多数人都配不上保姆和经纪人。
这其实就给了别人通过你邮箱反推你手机号的机会。
问题出在“忘记密码”的环节。为了安全,很多网站选择了手机+邮箱双认证。也就就说,你输入邮箱后,点忘记密码,可以选择发送验证短信到手机去证明你的身份。这里,就出问题了。因为它需要确定你的号码才能给你发短信,在这个地方就会暴露你的号码。
这里就以最多明星网红使用的微博为例。选择忘记密码,填入邮箱。
接下来,你就能看到这个邮箱注册微博时,绑定的手机号了!这里显示的是头三位和后两位,看上去还是挺安全的。
接着我们再打开京东,忘记密码,比微博多了一步,可以选择用手机验证。然后我们就看到了显示头三位和后三位的手机号。还比微博多了一位。
这里可以说这两个网站是隐私安全的猪队友。我们看看其他网站。QQ,只显示头三位。支付宝,显示头三位+末二位。网易邮箱,只显示末三位。
但是,你隐藏得再辛苦,也架不住京东和微博送人头啊。而且,即便有的网站是显示两三位数,但有的是显示头三位,有的显示末三位,组合起来,还是相当于白给!请把“猪队友”打在公屏上。
这个屏蔽位数完全由企业决定,并没有统一标准。做得再好的网站,其他网站如果不抄作业,相当于一起给卖了!
这里也说一下B站,它的模式是邮箱和手机分开,如果你注册的是邮箱,点击忘记密码,那只能登陆邮箱去找回,不会涉及手机号。虽然避免了手机号泄露,但是也有其他的安全风险,感兴趣的发个弹幕,我们后面再展开细说。
接下来,我们发现最重灾区的是旅游网站,携程和去哪,都是只隐去了中间四位!明星注册一个旅游网站买机票是很正常的事,这些旅游网站反手就把小姐姐们卖了!
为什么这么说?因为按我国的手机号码规律,只隐藏中间四位等于没隐藏!
这里小池给大家科普一下。中国大陆目前已有的手机号码都是以1开头,共11位数,前7位数字通常称为手机号段,用来区分运营商和归属地。
例如下图中的号码:1XX-YYYY-ZZZZ。
第一到三位数表示电信运营商(1XX);第4~7位数表示地区号码,即归属地(YYYY);第八到十一位数表示客户号码(ZZZZ)。
其实,最主要的安全风险就在于运营商分配的HLR识别码,也就是归属地上。HLR中文名叫归属位置寄存器。简单理解,HLR有点像手机里的区号,但是一个地区可以有多个HLR。中国大陆三大运营商就是按照地域分配HLR的,这里面,就有迹可循了。
假设一个极端些的例子,已知某个明星属地是黑龙江大庆的,手机号是158****8888,那么他的手机号大概率是。因为大庆的移动158号段只有一个4509段位。
其中,158代表的是运营商移动公司,尾号8888是用户号码。而中间模被各种应用糊掉的四位数,就是我们说的“区号”,HLR识别码,由手机归属地决定。记录了大量重要的客户数据,包括基本资料、套餐、位置信息、路由以及业务状态数据等等。
目前甚至不需要进入暗网,你在网上轻松就可以搜到每月更新的手机归属地数据库,字段包括省份、城市、运营商等信息。即使同一个地方有多个HLR码,因为前三位和后三位数字已经被泄露,百度一下就能找到多个查空号的网站,去掉空号之后,得出真正有人使用的号码,真的不难。
假如私生饭知道某个小姐姐常住北京,根据数据库筛选结果,158移动目前北京有230个号段,那么待筛选号码就只剩下230个。而其他国内大型城市以158开头的号段,上海就有210个,西安只有108个。如果明星是在二线城市突然出名爆红,那么搜索范围就更小了。
所以大家可以明显看到,其实各个大厂隐藏中间四位号码的HLR并没有太多意义,如果有人拿着你的邮箱居心叵测想获得你的号码,尤其是你不在北上广深这种一线城市生活,其实是非常容易被破解的。
而如果暗网黑产一旦盯上了某个明星,就可以通过上述方法,编写自动化的脚本,批量查询,比对获取公众的敏感信息,甚至可以变卖明星或者私人号码来牟利!对于多数小姐姐来说,公开一个邮箱地址,可能就是噩梦的开始。
小池建议,第一,大厂们建立监管规范,统一隐去手机号码的规则,统一标准才是最好的安全保护方式。
第二,这个统一的标准,应该是将手机号码的中间四位和后面三位,都做部分的隐去处理。这样即使通过HLR破解了中间四位,后三位要继续破解也会带来更大的难度。这样就可以保护隐私,避免被恶意人员根据号码规则去穷举与推测。
但是,无论如何,电话号码的数字是有限的,只要暴力穷举,都不是没有可能,这个时候就要考验各大厂防批量攻击的风控能力了。小池在这里提醒大家,工作的需要公开的邮箱和自己注册各网站生活用的邮箱一定要分开,这样才能避免泄露。如果你真的喜欢在各个好人一生平安的网站留下足印,请千万不要留下自己注册淘宝京东支付宝时的邮箱。
幸运的是,小池测试多位明星和网红的邮箱,都没有用自己联系工作邮箱注册一般的网站。只有一位知名网红真的被小池查到了手机,在这里就不公开了。
如果你看完上面的那些技术分析就想开始蠢蠢欲动,想去搜一下你钟爱小姐姐的手机号,那么小池推荐你读一下刑法的相关条例。
刑法第二百五十三条:【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
其实在小池讨论这个话题之前,骗子肯定已经比你更早知道了这些套路。所以在这里小池当然不是为了传播骗术,而是为了给大家一个提醒。请大家积极分享,推动各互联网大厂们去修改现有的漏洞。毕竟每一个转发,都会给我们自己和爱豆一个更好的个人环境。
最后,小池教大家一些如何分辨靠谱的、大概率不会泄露个人隐私APP应用的小技巧:
第一:这个应用找回密码的业务流程,是否存在可以被绕过的情况?安全的产品,跳转逻辑的设计应该是合理严谨的。
第二:尽量选择那些对客户敏感信息处理更加严格的公司,比如苹果和谷歌,只显示后两位,让骗子来好好猜猜你是谁。
第三:一定要看这个应用,在找回密码时的身份验证环节,针对批量暴力穷举攻击,是否有足够高强度的管控手段?包括图像分辨验证码、语音验证码、历史动态问题验证等等。
最后小池想说,在安全攻防领域,我们始终应该多一点心眼。毕竟你一个不小心,就可能导致你多个平台的账号被泄露,小池也会一直给大家持续更新网络安全方面的内容,为大家科普更多有意义的内容,希望大家能多多支持。
我是科技BB机,科学分析,实力bb,感谢您的阅读。
1.《微博怎么看绑定手机号码?总结很全面速看!知道偶像的邮箱,就可以反推手机号了?》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《微博怎么看绑定手机号码?总结很全面速看!知道偶像的邮箱,就可以反推手机号了?》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2969790.html