你好，请开下门，查水表｜宅客周刊

本周关键词

▼

个人信息买卖黑市 | iPhone| 色情网站漏洞悬赏

特斯拉 | 幻盾

这周，读者在我宅多篇文章转发语中表示：“这篇可能会被查水表”“这篇也可以”……吓得小编编辑小手一抖，难道诞生不过数年的宅宅“药丸”？

瞎说什么呢！还是好好看文章——

话说，这种黑市调查行动，必先“出卖”同事的信息。

2月16日，央视新闻频道报道了记者亲身体验购买个人信息服务，揭秘个人信息泄漏黑市状况的新闻。

身份信息、打车信息、淘宝信息、通话记录及定位信息均一览无遗。那么，央视记者从该黑市获得的这些信息是如何被泄露的？

小编编辑与安全圈相关专业人士取得了联系，请他们就央视上述报道中出现的截图和材料进行了一些“不负责任”的推理与分析。

首先，摆上最重要的几点猜测：

1.身份信息如何获得的？

从相关截图看，这是某有关权威部门的系统截图，所以，你懂的。

2.打车记录如何拿到?

可能途径一：内鬼作案；

可能途径二：黑产人员通过打车软件漏洞获取了后台数据。

3.淘宝记录如何被泄露？

通过撞库等手段直接获取了淘宝账号登录。

4.语音通信详单、手机定位信息如何被拿到？

可能途径一：利用黑客手段使用运营商的接口；

可能途径二：内鬼。

匿名人士一

小编：1.手机定位是如何做到的？

匿名人士一：这是运营商基站数据定位，应该是运营商和不可说的相关部门的系统。

小编：2.也就是说，有人和内部人士串通吗？除了这种方法，有没有可能通过一些入侵手段实现？

匿名人士一：不排除这种可能，那么多人都在卖，而且很稳定，所以内鬼的可能性较大，主要是里面有明确的不可说的相关部门的系统截图。

小编：3.意思是，话单、定位，包括打车，都是内部人士搞的数据吗？

匿名人士一：是的。打车纪录看去来像后台数据，淘宝那个看起来还像是社工库搞定了淘宝账号，因为登陆的是收货地址管理界面截图。

匿名人士二

里面有几个问题，这么密集的数据泄露肯定不完全是黑客入侵数据导致的，政府监管侧的问题很大，假如说户籍在基层派出所可以查询到，那么手机号码的定位、打车等数据那肯定不是这么低级别可以查得到。国家肯定有要求并会对这些互联网公司的数据进行监管，监管部门的问题比较大。

匿名人士三

有几种可能性：1.内鬼；2.有未被公开的打车软件或其他的漏洞、接口被利用。此前，某运营商就被曝光通过漏洞可以查询任意手机的通话记录，也有过定位接口。

其实，很多东西和数据只是明面上没公开，大家不知道。

黑市有很多利益链条，其实帮查询一个人的地址等信息，对相关系统的人而言，就是很顺手的事，并且基本不会被发现。

如果说比较有技术含量的地方，就是其中一些数据是通过黑客手段拿到的。但是，我觉得类似这种实时定位的，很难说一个人可以一直维持这样一个接口或者漏洞不被发现。

央视这一报，估计又来一波打击黑产了，又有一些人要跑路了。

小编编辑要强调的是，央视网报道中显示，央视记者已向警方报案，一切以警方调查结果为准。

昏暗的房间里，一个叫 “almaco”的小伙子打开了一个成人网站，按下回车那一刻，屏幕上的画面令他血脉喷张。那一夜，almaco 在网站呆了整整四个小时，然而桌上并没有放纸巾，因为他不是为了来看AV ，而是来挖网站漏洞的。

几天后，almaco收到了成人网站 YouPorn 奖励他的 2500 美元（约 17000元人民币）。“古有柳下惠美女坐怀不乱，今白帽子逛黄网镇定自若”，大概就是如此。

类似“almaco”这样慕名而来的白帽子黑客并不在少数，他们为成人网站 YouPorn 做安全渗透测试，并把找到的安全漏洞提交到漏洞响应平台，以换取现金及礼品奖励。据小编了解，仅在上周，YouPorn 就发出了至少 6000 美元的赏金。

YouPorn 是全球访问量最大的色情网站之一，目前在 Alexa 网站排名为 231 ，其号称平均每月有10 亿次视频观看次数。

去年，YouPorn 的姐妹网站 Pornhub 推出了自己的漏洞悬赏计划，吸引了大量专业人士为 Pornhub 寻找网站的漏洞。而今年年初，YouPron 也不落下风， 加入了国外知名的漏洞众测平台 Hacker One，开出了从 50 美元到 25000 美元不等的漏洞悬赏。

最近西班牙出现一个盗窃团伙，在 2个月内连续作案，成功盗走24台高配 iPhone ，总价值超过2.3万欧元。据小编()()宅客频道了解，盗窃团伙成员每次潜入Apple Store 并盗走 iPhone 后均全身而退，不仅没有响起警铃，工作人员也丝毫没有察觉。

看到这里，也许你脑中浮现出电影中的类似桥段：

神偷团伙顺利潜入秘密基地，完成任务后全身而退，警报并未响起，因为在这之前他的黑客同伙已经搞定所有安防设备。

据我们了解，他们使用了两种“高超”的技术手段：分布式掩护，以及撕咬术。这两种技术到底有多牛呢？先来看看警方提供的演示视频截图：

在监控视频中，一名头戴白色棒球帽的神秘男子把 iPhone手机的防盗绳咬在嘴里，与此同时，他的 7个同伙通过分布在其周围干扰工作人员视线。不一会儿，白帽男子得手了，他迅速将手机递给同伙们，将该手机来回传递，最终悄无声息地送出 Apple Store。

好吧，说白了就是用牙咬断防盗绳，然后把手机递出来。不过你不得不承认“技术门槛”挺高，至少得有那么一口好牙。

看了三篇不正经的文章，我们再来看看一些正经文章！

事情要从三年前说起。

2014年，360 董事长周鸿祎曾经和特斯拉的创始人马斯克进行了一次有趣的谈话。

富帅马斯克：特斯拉所有应用的代码都是自己写的，不安装任何第三方应用，所以不会被任何黑客攻击。

教主周鸿祎：智能汽车从根本上说像一部打手机，只要和外部通信，其中的协议就有可能被研究和破解，所以“干掉”特斯拉是有可能的。

这次谈话的结果是：两位大神打了一个赌，赌特斯拉究竟能不能被黑客攻击。故事由此展开。

传奇黑客“搞定”特斯拉

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!