隐私泄露 | 查开房网站的背后

0×00前言

随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准确度之高令人触目惊心。

0×01起因

美(pao)酒(huo)佳(lian)人(tian)的2月14刚刚过完,金乌实验室的小伙伴们近日注意到“查开房”等关键词的搜索热度迅速飙升。通过百度搜索发现,很多网站都在提供查询开房信息和手机定位等隐私查询服务。

经调查发现,从开房记录流出到出售再到推广网站,已经成为一条成熟的产业链,本文为针对查开房网站背后作者的一次追溯。

0×02正文

通过多个网站上提供的不同QQ号码,我们联系到了几个查开房服务的提供者。查询分全国或省市,标价不同,简单的聊了几句,没得到有用的信息,只得到了支付账户。

这些支付宝实名信息是松原市的一家企业,虽然邮箱不同但是认证信息一致,初步判断是同一伙人制作。

0×03信息收集

由于众多QQ均为新号,无法通过QQ得到需要的信息。既然查开房网站可能是同一伙人制作,那我们就从网站作为突破口。

1. 通过搜索引擎,whois信息收集,旁站查询等方法收集整理如下域名:

2. 通过Web取证到更多可用信息

网站大致有三种模板,都是asp编写,都存在SQL Injection漏洞,后台可以getshell,大部分网站为站库分离,分离的网站均外连到同一台mssql服务器(IP:117.18.**.***)。

数据内容为之前泄露的2000W(1.7G)开房数据,至此我们更加确定这些网站的制作肯定为一伙人所为。

通过查看这些网站里配置文件中的发信配置,均指向一个邮箱poi*******@163.com,密码为:8401******。

0×04社工

1、登陆该邮箱得到以下信息:

邮箱昵称:青青

通过信箱中某备案系统给其发送的邮件,得知该邮箱下有一备案信息,指向公司为中山柏高清洁剂企业有限公司。

邮件中我们发现邮箱po******@163.com,根据命名规则,我们推测这个邮箱为作者另一个邮箱,发件人为叶卫权。

附件中都是些非法网站的源码,看来作者不只是做查开房站点。

在邮件中我们得到123******和851*****两个企鹅号及企鹅邮箱po****@qq.com。

通过邮箱常用登陆地址查询,可知作者应是广东人。

手机号:134*****297

和一些常用的昵称,用户名:青青,poisonlv。

2、社交信息

通过收集到的常用用户名搜索社交账户,整理后得到如下信息:

百度贴吧ID:poisonlv,广东江门人,女友叫徐蕾,曾运营的网站:

http://www.dawang****ware.com

http://www.bia****yc.com

通过百度知道,我们得知以下信息:

QQ851***09

QQ815***9

邮箱:

Poiso***v@163.com

贡献词条:

中山柏高清洁剂企业有限公司

0×05水落石出

搜索得到的QQ可以确认为同一人,并得知:

手机号:134*****297,邮箱:pois***v@qq.com,姓名:叶卫青,曾用名:叶卫权,住址:广东省江门市江海区。

通过群关系搜索另一个QQ群,得知作者曾就读广州大学纺织学院01计算机系。

通过社工库及常用密码得到部分社交应用信息,得知该作者女友名字叫徐蕾,与之前贴吧得到的信息一致。

通过上面收集到的用户名、邮箱、手机号搜索微信,搜索结果为同一微信号,可以确定上面得到信息的准确性。

支付宝实名再次认证了前面推测的准确性。

0×06总结

到这里整个追溯过程就结束了,本想把Web环节写的详细些,最后还是略掉了。梳理一下整个过程及思路,最后附上张简单的逻辑图。

0×07写在最后

希望作者能尽快关闭网站,不再继续泄露个人隐私。隐私保护问题还是要从根源解决,建议有关部门及时从销售渠道端追查非法交易,遏制“黑产”泛滥。

同学们如果有兴趣深入交流,可联系金乌实验室,联系方式:jinwu@jinwulab.com

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏花叔的专栏

小程序2017年最后一波更新?

小程序又在半夜更新.... 这次更新内容非常多,但大多是之前公开课就提及过的。 1 实时音视频录制及播放能力升级 重点要提提这个更新,实时录制音视频组件和...

2775
来自专栏信安之路

网页表单钓鱼以外的钓鱼方法

可以看出,钓鱼攻击并不是一种完全随缘的攻击方法。关键在于是否成功伪装成了受害者信任的目标。

980
来自专栏FreeBuf

百度软件中心版putty被曝恶意捆绑软件

近日,微步社区出现一则新情报,名为RTFM的用户发表文章《被污染的百度下载,被捆绑的Putty,为什么受伤的总是程序员?!》,引来网友热议。

1414
来自专栏Debian社区

STIG for Debian 9发布

随着 Debian”Stretch” 9 的正式发布和大规模部署,HardenedLinux 社区也发布了 STIG(安全技术实现指南) for Debian ...

972
来自专栏大数据文摘

数据安全——黑客来袭,如何保护自己?

1913
来自专栏安恒信息

警惕!别以为智能锁万无一失 黑客正在悄悄打开你的房门

明鉴数据库漏洞扫描系统(简称:DAS-DBScan)是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上,研发的一款数据库安全评估工具。该产品融合了权...

1342
来自专栏腾讯大讲堂的专栏

应用内容检查大法

作者:互娱iOS预审团队,隶属于互娱研发部品质管理中心,致力于互娱产品的iOS审核前的验收工作。 前面一篇分享了客户端检查的相关要点,本篇会给大家介绍有关应用内...

2238
来自专栏FreeBuf

看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵

Checkpoint研究人员最近发现了一种新型攻击手段–字幕攻击,当受害者加载了攻击者制作的恶意字幕文件后将会触发播放器漏洞,从而实现对受害者系统“悄无声息”地...

2268
来自专栏FreeBuf

网络罪犯:互联网丛林中的捕猎者

作者 Rabbit_Run 概述 任何使用互联网的人都身处危险之中,不分你年龄几何,不管你在网络上喜欢做什么。网络罪犯能够部署一个强大的军火库,瞄准任何可能的...

2156
来自专栏黑白安全

告诉你怎么样用WIFI逐步渗透至内网

这个是我帮助朋友公司做的一个渗透测试,在这之前,并没有收到任何相关信息,唯一的可用渠道就是WIFI,而对方的要求就是希望我测试一下,整个网络是否安全,是否存在漏...

1234

扫码关注云+社区

领取腾讯云代金券