文末混脸熟活动不停,走心留言直接送书
大家好我是痴海,一位转型做增长的爬虫师,由于工作的缘故,对于身边许多信息都非常敏感。上个月朋友圈有很多人都在晒四六级成绩,有人欢喜有人忧愁,而我却感受到深深的恐惧。
2018 年腾讯手机管家在一个报告中公布了一个数据:在 2017 年检测到恶意网址 2837 万,拦截恶意网址 1067 亿次,全中国平均每人每年要被恶意攻击 76 次。
互联网方便我们生活的同时,也让大家的隐私无处隐藏,你任何上网的举动都会被某台服务器给收集。你的爱好、喜欢的爱豆、常逛的网站、购物的信息、每条聊天记录,都化为一条条字节数据隐藏在互联网各个角落。
欢迎来到数据全裸时代,你的隐私有多容易获取?
我们就从如何获取一个学生的四六级成绩说起。
根据公开信息显示,2018 年全国高考报名人数 975 万,录取率 81.13%,新生人数 791 万。只要这 791 万新生,有人参加了今年的四六级考试,花点时间他们的四六级成绩,都可以被人查到。不用黑掉任何网站的后台,只需要通过网上公开信息,就可以拿到百万考生的四六级成绩。
要怎么做?
看完下面的思路,你可能会觉得很简单,但这背后却让人心生不安。
首先学生想查看自己四六级成绩需要两个信息:1 姓名;2 准考证号;然后去中国高等教育学生信息网,输入相应的信息即可查看。
所以如果你想要查看一位学生的四六级成绩,只需要知道姓名和准考证号即可。对于在同一所学校的同学来说,想要获取同校人的姓名是件非常简单的事。QQ 群、贴吧、朋友圈、身边的同学多问几个消息源就很容易获取。
不仅仅是姓名,甚至你的身份证号、家庭地址、电话号码都会全部暴露。在大学里大家都会有自己本系的群,辅导员时常会在群里发各种通知和文件,而这其中不乏全系学生的详细信息表。我自己还在上大学时,辅导员不知多少次把我们本系的学生信息随意就在群里上传,你的身份证号、电话号码、父母姓名、家庭住址全部裸露在同学眼里。
在学校里知道你身份证号有什么用?来看下一位读者和我说的话。
但不管在座的各位是已经出来工作的人士,还是还在上学的学生,想要获取任意一个学校学生姓名的名单,是件和喝水一样简单的事。因为有很多学校会把录取学生的信息,放在自己的官网上。下图就是我在网上随便搜索某个大学,找到的艺术类 2019 新生名单。
姓名知道了,我们现在就差一个准考证号就可以知道某位同学的四六级成绩。
我们要如何知道一位同学的准考证号?
很简单,这世界是由无数种规则组成,知道了规则你就是上帝,俯瞰一切。一场百万新生参与的英语考试,他们的准考证号一定是由某种规则组成的。随后我在网上搜索了四六级准考证号是由什么组成,就得到了非常关键的信息。
英语四六级准考证号一共由 15 位组成,知道了组成的规则,我们就拥有了上帝之眼,就可以知道任意一位学生的准考证号。
我在教育部网站上找到了全国高等学校名单的 Excel 表,全部都是公开信息任何人都可以下载。而表格中的学校标识码后 5 位就是学校代码。
现在我们就可以重新定义一个四六级准考证号是由什么组成。
上图大家就可以很明显的知道,要想知道 2019 年某个学生的准考证号,我们目前唯一不能确定的就是校区代码、考场号以及座位号。而这三部分非常容易利用代码,全部列举出所有的结果,接下来就是最重要的一部分。
用程序去模拟准考证的规则,请求网站接口,获取相应数据。
网站在查询成绩时会向服务器发送请求,然后会返回相应的成绩数据。通过模拟接口,发送请求我们就可以获取对应的信息。随后我通过抓包软件找到了四六级成绩请求的接口,并验证了信息的准确性。
上图是我输入某位同学的姓名和准考证号,发送请求得到的四六级信息,查询到的信息和图片显示完全一致。
知道学校名称,拥有了学生名单,明白准考证号组成规则,只需几行代码我们就可以去撞任意一位学生的四六级成绩。
四六级成绩获取的方式可以用黑客中一个词语来形容:撞库。
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网址,这就可以理解为撞库攻击。
而我是收集网上各种公开信息,利用准考证号的规则,通过程序模拟发送请求,穷尽所有结果,对某位同学的四六级成绩进行撞库。只要你花点时间,收集到相应的信息,即使别人不把姓名和准考证号透露给你,你完全有办法自己查询到。
而四六成绩就像大家的隐私一样,任何人多花点时间都可以把你的隐私数据全部查找出来。
一张照片能出卖了你多少隐私?
现在的人热衷在社交软件上晒自己的心情和各种照片,但有太多的人不知道如何保护自己的隐私,一些关键的信息根本不打码,分享的图片也不进行处理。而有时候往往就是这些小的细节把你个人隐私暴露。
一张图片足以暴露你的家庭地址。
我们继续来看一个大家天天都会使用的软件「微信」,我向自己的好友做了个实验,叫他随意发一张身边的风景照,并用清晰度不高为理由,叫他把原图发给我下。而就是这样不经意的举动他已经把自己的家庭地址暴露给我了。拿到照片之后,我在微信上随意找了个 Exif 信息查询小程序,就得到了他的拍摄时间、详细地址。
平时喜欢晒自拍、秀恩爱、晒娃、晒狗、晒猫、晒各种生活照片的你,是否感受到深深的恐慌?一张无意间分享出的照片竟然会把地址暴露出来?这是为什么?
这其中的关键就在于照片文件里有一个 Exif 信息。
Exif(Exchangeable image file format)可交换图像文件格式,是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。通过 Exif 可以查看到:
这些 Exif 查询工具随处可见,通过它可以精确定位到具体某一栋楼,并且通过高度信息,结合当地的海拔高度,甚至还能推算出对方住的楼层。
大家一定要切记,如果并非自己身边的熟人,一定不要把原图轻易分享给他人。人心是最难猜测。一张图片就把你家庭地址信息给暴露,这是件多么可怕的事。有了你的详细地址,那些不怀好意的人不知道能做出多么疯狂的事。
生活中还有非常多能拿到你隐私的方法,而今天给大家展示的隐私泄漏的案例,只是数据全裸时代的冰山一角,冰山之下还有很多你不知道的世界。
泄露隐私的正是你在日常中不经意的小举动,不仅如此还有更多你不知道的隐私泄露方式,防不胜防:
个人信息倒卖早已形成完整的黑色产业链,隐私泄露的渠道日益复杂、隐蔽。也许你的信息已被倒卖好几次,却浑然不知。
如何防止个人信息泄漏
那在我们日常生活中要如何保护个人信息隐私呢?这是一个很难回答的问题。很大一部分原因是即使你非常注重个人隐私,也非常容易获取到你的隐私信息。公司之间共享和交易数据的行为表明,他们无论如何都会得到你的个人信息数据。今天你在网络上的每个行为都有可能提供给推荐算法。
不过你可以通过一些方法来帮助自己,将信息泄露程度降至最低。你对数据的提取和使用方式了解得越多,你就能更好地维护自己的数字隐私。
1 屏蔽你不需要的数据收集请求
在网上很多数据泄露的根源就是各种收集你信息的网络请求,如果这类请求可以被识别和屏蔽,那么你会在防止数据泄露这方面拥有一个良好的开端。最简单实用的屏蔽工具就是互联网浏览器扩展工具。
你可能对浏览器扩展工具这个词感到很陌生,其实所有的主流浏览器,包括微软、谷歌、火狐和苹果公司的 Safari,都是可以添加各种第三方扩展程序的。它们从本质上来说是在浏览器内工作的小程序。
但很不幸,声称可以屏蔽广告和保护个人隐私的扩展工具五花八门,让人们不知如何选择。这里推荐 IT 咨询公司 PivotNine 的首席分析师 Justin Warren 说的话:“安装隐私保护插件,如 Privacy Badger,Ghostery 和 uBlock Origin ,可以屏蔽追踪器和广告软件。”这三种软件在隐私保护方面都享有很高的声誉。
2 学会清理数据信息
你应该经常检查自己的隐私设置,关闭不使用的功能,注销掉那些已经不经常使用的网站账号。你现在还能回忆起你曾经注册过哪些网站了吗?这里我已经帮大家整理好,国内主流网站的注销方法,后台回复「隐私」即可获取。
3 谨慎使用网站默认登陆方式
大多数时间保持网站或软件登出状态也是一种很好的做法。你要仔细考虑是否真的需要登陆网站。因为登陆此网站就表明你直接告诉这个网站你正在浏览它,那么世界上所有的隐私保护技巧都将变得一无是处。
尤其国内现在很多网站都可以使用微信或者QQ便捷登陆,虽然通过社交媒体账户登陆其它网站很方便,但是你却通过未知的第三方,将自己的隐私暴露了。不仅提高对方网站的注册率,还同时让网站获取到你丰富的第一手资料。
所以我非常建议大家同时注册些小号,邮箱。不要轻易泄露个人信息,思考这些信息是否必须填写。在你的目的范围内,尽可能减少你所要填写的信息。另外多使用小号,起码可以避免一半信息的泄漏。
-END-
参考资料:
[1] https://m.qq.com/security_lab/news_detail_448.html
[2] https://www.jianshu.com/p/38d11cccfb53
[3] http://www.epochtimes.com/gb/19/1/16/n10978633.htm
[4] https://www.ifanr.com/app/1243239
[5] https://zhuanlan.zhihu.com/p/52518547
[6] https://zhuanlan.zhihu.com/p/34942812
[7] https://m.qq.com/security_lab/news_detail_448.html
[8] https://zhuanlan.zhihu.com/p/29703260