不知道大家最近有没有看到网上流传着一则消息。
有网友说,他在暗网发现有人叫卖2.2亿余条B站用户信息,泄露数据疑似包括用户账号和手机号。
既然数据这么多,卖家给的价格自然也就不低了。
交易通过虚拟币来进行,价格为0.5 BTC或者17.72 ETH。
别看他又是0.5,又是17.72,好像很便宜似的,要是换算成现金,相当于14.4万元了...
这价格别说普通人了,就算是富豪也不一定愿意买。
毕竟用户泄露数据这玩意儿,一般只有黑产商有兴趣。
不过,咱们暂且把“数据如何泄露”的问题放一边,大家更关心的,应该是泄露的数据是否真实。
要是这2.2亿多条数据都货真价实,无疑是在宣告,咱们的B站账号隐私,都被扒光了。
泄露的数据保熟吗?
首先嚯,如果这份泄露数据是真实的,且是被一手扒出来的,那它的价格应该要再翻个基本才对。
如今接近15万元的价格,虽然不低,但与业界平均价格比起还算是“良心”的...
那么,这里就有两种可能喽。
一是这份数据水分严重,里面的数据可能真假参半,甚至是毫无关系。
二是卖泄露数据的人,掌握的不是一手数据,可能这数据已经被转卖过很多次了。
OK,理清楚思路,咱们直接开始侦探式分析。
先从在泄露数据是否真实展开,从发帖者提供的数据来看,只有B站UID和手机号码两种数据。
而UID在小雷看来,压根儿算不上隐私。
因为在每位B站UP主的主页顶部,都能看到其对应的UID,属于是公开的“标识码”。
像这类公开信息,想要集中扒下来做数据库或分析还真的没啥难度。
只要你会亿点点爬虫,再写个爬虫脚本就完事儿。
别说UID了,连粉丝数、每日粉丝涨跌和视频量等数据,都能扒下来。
实在不会也没关系,还能去全球最大的同性交友网站 - Github上搜一搜。
里面的开源爬虫工具多如牛毛,总有一款符合黑产老哥的需求。
但手机号码就不一样了,出于隐私保护的要求,每个厂商都不会主动公开用户的手机号码。
所以呢,大厂们出现数据泄露的问题,大概率就是被入侵扒数据,并做成社工库收买了。
刚好啊,发帖者又免费提供了50万份免费样本,用于客户提前验货。
于是有老哥就把这份样本下到本地测试,想看看泄露的准确度如何。
结果发现,UID确实能对得上,毕竟是公开数据。
但手机号就很不对劲,测试了很多手机号,要么是空号,要么是打通了,但人家表示压根不玩B站。
为了提高可信度,小雷也根据部分网友的指引找到了这份样本。
下载完成后, 我立马打开并搜索自己的手机号码。
结果...确实是啥也没搜到,看来这份数据不太可靠啊。
看到这,估计大伙都能猜到是什么情况了。
大概来说,是有人用脚本把B站部分用户的UID扒了下来。
再把这些UID和不知来处的手机号码数据库糅合在一起,便有了“B站2亿数据泄露”的帖子。
发帖的人明显是想用这些东拼西凑的数据来骗钱,被发现端倪后,他的论坛号已经封,帖子也被删光了。
So,只从这次所谓的“泄露”事件来看,B站确实是躺着中枪的一方。
但是,小雷要说但是了。
咱们热爱的小破站,也不是第一次传出类似的泄露事件了。
早在2019年,就有网友发现B站的后台源码,被人上传到了GitHub上开源。
如果只是单纯的源码倒危害不大,但里头还有许多用户名和密码。
源码源码曝光,引起众多网友前去Fork(复制)和Star(收藏),影响越来越大。
最后这事儿甚至导致B站股价跌了4%...
有小伙伴们可能会说:“会不会是B站的安全措施做得不太行?”
其实也不是,大厂们都有比较完善的数据保护机制。
数据又能分为几个主要阶段:
用户产生数据厂商收集数据厂商使用数据
而以上的每个阶段,都有发生数据泄露的风险。
这也导致一个现象嚯,无论是体量多大、对隐私多注重的厂商,基本都无法逃过用户数据泄露。
隐私泄露,随时可见
互联网的隐私泄露,似乎成为了厂商和用户都无法逃避的问题。
强如苹果微软亚马逊,都曾被黑客老哥们偷袭过。
在2020年,微软家的Bing搜索就暴露了许多用户的搜索记录数据。
泄露数据有多少呢,全部加起来有6.5TB...
很多冲浪老哥在Bing里面搜过的羞羞记录,都被记录在里面了。
同样是在2020年,微软的发家宝物 -Windows XP SP1的源码又被泄露了...
整份源码被原封不动打包成43GB大小的BT种子。
没过多久,这源码又被外网的开发人员编译成Windows XP和Windows Server 2003。
嗯,是能正常开机使用的那种。
只能说得亏不是Win 10,不然微软的家都要被偷烂了。
再到最近,学习通泄露的事儿,相信大伙都听说过,最后官方是否认了泄露,但有些大学生还是出现了被顶号的问题。
在学习通疑似泄露事件出来没多久,QQ又发生了大规模盗号事件。
这巧合甚至让网友们怀疑,是不是有人拿学习通的密码来撞库登录QQ。
更离谱的来了,小雷在写这篇文章时,就看到了最新的国内企业泄露事件。
比如,有搞黑产的人表示挖到了金山软件的数据,如果金山不打钱,就每个三个小时放出1000行数据。
小雷无法验证数据是否真实,但这波勒索操作是真的刑...
还有前程无忧网,7月初也被某网络论坛放出了“2亿泄露数据”。
小雷也没办法逐一去测试各种数据的真假。
而这其中肯定有人用“垃圾数据”来骗钱,也会有部分真实数据混入其中。
在万物皆可云的时代,我们的数据一旦上传到云端,就不是自己能完全掌握的了。
这时候能做的,就是烧香拜佛,希望大厂们能好好保护自己的隐私。
