ETH:揭秘微博灰產：一個QQ號就能扒光你的所有隱私數據

編者按：本文來自Phala可信網絡，作者：Marvin，Odaily星球日報經授權轉載。本文中的所有查詢到的敏感結果已經打碼，保護當事人隱私本人作者已將所有查詢到的信息刪除清空本文寫作較為草率，如有不準確希望理解，希望對大家的個人保護警惕起到拋磚引玉的作用！3月19日上午，有微博名為“安全_云舒”的用戶轉發微博時稱：“很多人的手機號碼泄露了，根據微博賬號就能查到手機號……已經有人通過微博泄露查到我的手機號碼，來加我微信了。”隨后，該網友在微博下的留言中進一步表示，他通過技術查詢，發現不少人的手機號已被泄露，當中涉及不少微博認證的明星、官員、企業家。“來總的手機號也被泄露了，我昨晚查過。”本文作者在19日下午親自體驗了一把泄露數據的灰產產品，已驗證密碼、個人敏感信息確實被暴露！雖然不確定是否是從微博暴露的，但是通過微博這一公開平臺，可以微博ID查出手機號。從而通過手機號關聯到更多密碼、個人身份信息。我們總結了一些內容，希望能讓大家對個人隱私保護及密碼管理產生警惕，也希望大家能按圖索驥，查出背后團體的真兇。概述

重慶永川發布元宇宙三年行動計劃，擬構建數字藏品等領域新模式新服務:1月9日消息，重慶市永川區人民政府官網于1月6日發布《重慶市永川區元宇宙產業發展三年行動計劃（2023—2025年）》，力爭到2025年，將永川打造成為以數字內容制作為特色的全國知名、西部領先的元宇宙應用示范城市，引入培育一批掌握關鍵技術、營收上億元的元宇宙企業，構建科技影視、虛擬數字人、數字藏品等多領域元宇宙新模式新服務。

其中在打造數字藏品產業服務體系方面，文件提及，在符合國家數字藏品監管要求的前提下，有序引進和培育有實力的數字產品版權、發行及交易平臺，打造集評估、發行、流通為一體的數字藏品服務體系。培育發展高收藏價值的數字藏品市場，重點瞄準航空航天、著名景區IP、重慶特色文化等領域，聯合版權單位、發行平臺，共同耕耘收藏市場，持續發行珍品數藏，打造細分領域高含金量的數字藏品市場。引進區塊鏈相關技術，拓寬數字藏品應用場景。[2023/1/9 11:02:23]

本次數據泄露據說是由微博而來，在小道消息的引導下，我們找到了購買隱私數據其中一個根據地：電報，通過電報按圖索驥、購買服務，摸清了灰產的整個服務架構。交易流程概述

Mazars審計：Kucoin的BTC、ETH、USDT和USDC儲備均存在超額抵押:12月12日消息，會計審計巨頭Mazars已在其官網上發布其審計的加密交易所Kucoin的資產儲備證明報告，該報告得出的結論是該交易所的BTC、ETH、USDT和USDC儲備存在超額抵押。根據Mazars 11月26日審查的交易所儲備和負債快照，KuCoin的BTC儲備的抵押率為101%，而穩定幣 USDT和USDC的超額抵押率分別為102%和101%，ETH儲備的抵押率為100%。[2022/12/12 21:39:26]

加入電報找到售賣機器人機器人分享報價和交易方式選擇交易機器人給出比特幣/ETH數字貨幣地址打款后，機器人為電報賬號充值積分利用積分查詢該系統是“積分機制”，即你通過數字貨幣為該灰產充值，則電報賬號在灰產的賬戶中會多一些積分。使用積分可以查詢各種服務：

數據：昨日BitfinexETH空頭持倉量減持超1.6萬枚，跌幅達56%:金色財經報道，數據顯示，當前Bitfinex ETH空頭持倉量已減少至8月以來低位，為13482.24 ETH。其持倉量在昨日出現大幅減持，累計減持16554.16ETH，減幅達56.19%。據歷史數據，這是自5月中旬以來最大的單日減持量。[2022/9/17 7:03:34]

作者親測，0.358ETH=260積分，10積分可以做一次普通查詢，則相當于0.0138ETH一次，約等于10元一次服務流程概述

選擇批量查詢→機器人批量輸出名單。包括：微博賬號、郵箱、密碼等信息選擇根據微博賬號查詢→給機器人輸入微博主頁的Oid→機器人輸出結果。包括：綁定QQ、綁定手機、微博主頁地址輸入綁定QQ，機器人輸出真實姓名、老密信息、姓名、手機、郵箱、QQ關聯賬號、QQ密碼輸入綁定手機，機器人輸出真實姓名、老密信息、姓名、手機、郵箱、微博賬號、微博綁定手機直接查詢真實姓名：機器人輸出老密信息(密碼)、身份證姓名、性別、其他信息、地址直接查詢身份證號：機器人輸出身份證號和真實姓名總結

比特幣礦企Greenidge 5月挖出195枚BTC:6月9日消息，比特幣礦企Greenidge Generation 5月挖礦產出195枚比特幣，相比4月197枚比特幣的產出略有減少。

截至2022年5月31日，Greenidge擁有約2.04萬臺礦機，總算力約1.7EH/s，其中大約25%的產能位于Greenidge在南卡羅來納州斯帕坦堡的礦場，該礦場于2021年12月被收購投入運營。（PRNewswire）[2022/6/9 4:13:11]

這次的灰產產品有如下幾個特征：1、可信性極強：整個流程中，歷史上被撞庫的密碼，通過身份證、真實姓名、郵箱、手機號、QQ號被關聯，因此準確程度比以往的庫都要強大一些2、工具鏈齊全，人人可被查：本次引爆點是通過微博公開的OID查詢到個人手機號和身份證，因此任何人都可以再通過手機號查詢到他人密碼，從而完成對任何人的資產攻擊！下文將介紹實例。3、自動化強：在流程中，灰產作者很好的利用了以下三個工具完成了身份匿名——Telegram，匿名通訊Telegram的自制機器人，完成自動交易BTC/ETH等數字貨幣，且為每個用戶單獨生成地址，便于洗錢和反偵察詳述

游戲NFT流動性協議AFKDAO完成300萬美元私募輪融資:5月21日消息，游戲NFT流動性協議AFKDAO宣布完成私募融資，融資金額為300萬美元，參投方包括ACCapital、YGGSEA、HooLabs、AvocadoDAO、YunkoAssociation、YoubiCapital、GEMS、ShardingCapital、CryptoVN、KeysLabs、Blokpact、KoiCapital、IOBC、PlayItForwardDAO、LeadCapital、SilverFoxFoundation、HotDAO、FishDAO、NFV、WAGMI33、以及GMCCapital。此前，AFKDAO完成了由GBV、SevenX、DFG、LucidblueVentures、151East、Reframe、TeohCapital和FroyoGames等參投的種子輪融資。

AFKDAO通過ERC721資產來創建可委托的NFT資產來構建NFT的DeFi基礎設施，包括無需信任的資產管理以及無抵押NFT借貸等，由其專有ERC4610協議的委托功能提供支持。目前，AFKDAO擁有超過37,000名社區成員，有13,000人鑄造了象征成員身份的AFKDAO勇士徽章。[2022/5/21 3:32:43]

交易詳述

先在Telegram找到社工群

與電報機器人聊天

獲取通過數字貨幣給機器人充值的地址：希望對執法分析有所幫助https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76充值成功

交易流程

貼吧/QQ/微博/LOL查綁輸入手機/貼吧ID/微博ID/QQ/LOL互相查詢對應綁定信息。此灰產工具宣稱自己是“全網獨家數據”，外面的查綁基本都是在機器人查詢的。請注意該查詢非實時綁定信息。支持QQ查手機/手機查QQ，微博uid查手機/手機反查微博，貼吧賬號查手機/手機查貼吧賬號，LOL昵稱查對應QQ、手機、姓名等。微博ID就是微博用戶主頁后面的數字，有些用戶是個性域名，可以進入主頁右鍵查看源碼，如下圖oid即為微博ID。比如：查名人微博1、我們先去李X樂老師微博，打開他的主頁，通過chrome右鍵打開“源碼”模式，獲取到李老師的OID：

2、根據李老師的OID，去查詢具體信息李老師的手機號、QQ號已經被查到了

3、拿到了手機號，就可以通過查詢密碼了。此處作者使用自己的手機號查詢：

可以看到，通過手機號查詢得知，我已經暴露了自己的多個密碼、真實姓名！獵魔查詢獵魔查詢即列表模糊查詢，據該灰產宣稱是“來自網的一種業務”，現在在機器人也可以查詢了。該功能旨在尋找知道姓名，性別及大概位置的人的身份證號碼。灰產宣稱自己機器人已覆蓋全國50%以上優質人口數據，獵魔查詢分為三種查詢模式：模糊查詢，精準查詢，占位符查詢模糊查詢查詢方式為輸入真實姓名，根據提示點擊按鈕進行查詢。輸出結果后，可以選擇性別/省份，這兩個選項為必須項，不選擇無法查詢，也不會扣分。如果該省內重名少于50結果，將直接顯示全部結果并扣費，如果命中人數過多，你需要繼續選擇年齡，月份。

精準查詢查詢方式為輸入真實姓名以及身份證內任意連續的數字，機器人出現獵魔查詢按鈕。點擊按鈕進行查詢通過精準查詢，灰產可以根據你的其他信息，鎖定個人身份，從而查出你的更多信息。信息查詢大部分信息在這都可以查到，結果包含、以及，可以查詢快遞，開房，戶籍，地址，身份證，手機，郵箱，賬戶，密碼等等身份證自動提示歸屬地，年齡等信息手機號自動提示歸屬地&機主姓名地址自動匹配高精度定位結果Hash自動破解成功率更高去掉只有一條結果的信息通過連續的Join，還可以查出來：QQ/手機查名輸入手機/QQ號碼查詢號主姓名群關系隱私保護功能這是最為搞笑的：一個售賣公民隱私數據的產品，居然還主打“隱私功能”！！

你花錢使用了屏蔽功能后，本功能會匿名存儲該關鍵字,非刪除數據。屏蔽功能僅支持在本機器人中隱藏私人賬戶，屏蔽后任何人都無法查詢。屏蔽后仍會模擬正常查詢流程，其他人無法察覺已被屏蔽，正因如此，由于群關系隨處可查，故群關系數據不在屏蔽列表中。總結

我們相信目前所有互聯網服務，基于目前中心化的架構，出現數據泄露問題是必然的，是個概率性事件。充耳不聞并不管用，你的賬號還在，不說明你的安全做的好，只能說對黑客還沒有價值——因為很多已經暴露的信息永遠暴露了，且可通過關聯技術指數級增強確定性！廢話少說，大家都去改密碼吧！

Tags：ETHDAOCAPPITethicalissuesHairDAOHBTC Captain TokenPUMPIT

Ethereum