b站之前有个关于反诈以及个人信息泄露相关知识的博主,叫做公孙田浩。他第一个爆火的视频是“微博5.5亿个人信息泄露,能查到明星的手机号”,曾经到了全站第二的热度,数百万播放。
而这个博主是在2020年开始在b站发视频,刚开始没有吸引多大的注意,毕竟反诈意识那时候还没有现在如此强调。慢慢的直到2022年,这个博主的粉丝到了将近150w左右的时候。神奇的事情发生了,他被人肉了。
仅仅通过一个b站账号,并且声音还是经过处理合成的,视频也是通过一些片段剪辑,就可以把这个人祖籍,身份证大头照以及各种详细的信息罗列出来。当然这是黑色产业链做的,原因是公孙田浩凭一己之力,把b站近百万位用户的反诈提升起来,通过网络传播,这也意味着,一个视频
学校不属于黑产,但是不代表学校里面的领导找不到相关技术人员。这是后话,而类似于这种查找个人信息的,其实很简单,特别是b站这种不是特别大的公司,要么走关系,要么花点钱,简简单单就能解决。
第二就是b站其实也曾经信息泄露过。虽然泄露得不大。
第三就是个人行为的泄露,也就是通过这个账号的视频,主页信息,用户名推导出来可能的信息,然后放在社工库里面直接查询。现在免费社工库一大堆。
第四就是b站漏洞,类似于我主页其他文章中说到的g端一些漏洞,不敢保证b站没有。
但是个人能做到防护的很少,这里面就第三点自己能防护,并且这种功效其实比较低。简单来说就是压根没啥用。
挺多人看,更新一点。评论区说到tg某些频道有某些b站大v的个人信息。
拿这个说说,大v有很多机会去进行攻击。之前有群说到,拟一份合同,去和个人创作者交流,只需要得到他的手机号就可以出一切信息。这是社会工程学里的钓鱼技巧。
而多数情况下,这种成本太高了。多数是借助平台的一些漏洞来进行查询或者公开的api,千万别觉得大平台的漏洞就少,反而功能点越多,漏洞就会越多,多到什么程度,曾经听说过GitHub上有人找到某平台的抽奖源码。
而类似的其实层出不穷,并且一些攻击者甚至不知道这个就是某某技术,只知道通过这些方式可以获取到敏感信息,并且这种模式还可以照搬。举个例子,a在某平台发现了一个接口,是可以输入手机号返回身份证的,那么a可以挖掘这个接口的方式,去同类平台进行挖掘。
其原因是互联网大厂就那么几套规定死的技术,很少有技术创新,打工人就是摸鱼的多,你的站点被攻击了,产品被攻击了,怎么可能刚好就是我写的那块?
除此之外,一些小公司外包出去的系统,其实也是漏洞百出。而在tg上,刚好有一群人,甚至他们不知道这种技术叫什么?只是拿个抓包软件,利用手机就可以获取到平台的敏感信息。
除此之外,其实爬虫也可以获取相关敏感信息,特别是用于电商平台的某商品或者某直播间的订单获取,具体怎么操作就不得而知了。
就先说到这,人看多了再更。
