互联网社工库的传说,这个是真的存在吗?

前段时间关注了个公众号:TOMsinsight里面有很多关于中国互联网(地下产业链)的分析,让我了解了很多东西。(据说他们在分析报告写出来以后遇到了很多的阻力,影响了部分利益,希望我这个问题不会对这个公众号运作产生不良影响) 他们分析的最近一篇文章是关于社工库的传说的,坦白说这个比较符合我想象中黑客的形象。链接在这mp.weixin.qq.com/s? 问题来了: 1、这个社工库是不是真的存在,有从事相关工作的来说明下么 2、如…
关注者
2696
被浏览
278968
1、这个社工库是不是真的存在,有从事相关工作的来说明下么

社工库真实存在。
并且其恐怖指数远超于你我的想象……
2000万开房数据也就算了,银行流水都能查出来,而且现在交叉推算,普通人的密码对拥有庞大数据库的人来说视若无物。我的圈子里有人一直在做网络信息安全方面的事情,有一个怪癖的大神(姑且称之为X)连续十年在完善他的社工库,目前已经有6亿条200多个G的数据,包括姓名、身份证、卡号、密码、住址、联系电话。而我通过和他聊天还知道,还有比他更厉害的大神,社工库比他更完善的大神,收集了差不多中国10亿人口的数据。
我试着在X的社工库搜索自己常用的账号,天涯、QQ、电玩巴士、网易邮箱的密码全部已经被破解成明文在他的社工库里面。然后他告诉我如果他想拿到一个人的账号,比如百度账号,他只需要搜索出这个人的相关资料,然后通过密保问题、找回密码等申诉,因为他的资料准确性很高,所以只要弄,基本上都能获得密码。
是不是细思极恐……
最最关键的是:这些拥有社工库的人数据都存放在国外的服务器上,在国内是无服务器、无备份、无纸化、无U盘,就算警察查水表,也并没有什么卵用,甚至说,实名举报,都无法获得有力的证据。


2、如果真的存在,对于利用这个数据库的企业来说,是不是非法(我觉得是),以后暴露出来对他们有什么影响

中国目前对于这方面的法律并不完善。
我就说三种企业,第一移动网络运营商,第二阿里巴巴,第三快递公司。
如果,我是说如果,我获得移动网络商的客户资料,就可以得到用户的姓名和电话。并且可以精确到地区,只要稍加弄一下,就可以获得GPS定位的资料。
如果,我是说如果,我入侵阿里,就可以从注册ID的数据库里面获得用户的姓名、电话、具体地址、常用密码,甚至是银行卡卡号和密码。
快递公司不用谈啦,这个是最最最不安全的,也是获取姓名、地址最简单的社工库。
以前有中介公司直接就找快递买单元住户的姓名电话,2元一条,精准度在90%以上,你手机的骚扰电话就是这么来的。

这些几乎都是已经明摆着的事情,从电话实名认证、支付宝实名认证、实名发快递开始,就注定了你的个人资料(姓名、身份证号、电话)等,会被收录到一个数据库当中,在互联网里面流浪,或许今天它安安静静地躺在某公司的服务器里面,但是明天它就可能被拷贝或下载到了另外一台电脑。当年陈老师不也是没有想到,一个修电脑的竟然……



3、这个如果真的存在,我觉得最近阿里的十年账单问题简直是小巫见大巫,普通好奇心比较强的人有能够去接触这个库么(例如私家侦探找资料)

社工库真是存在,但是你似乎太小瞧阿里了。
马云在互联网界算是一个另类奇葩,互联网枭雄四起,马化腾李彦宏之类的,谁人不知道数据库的重要性?
殊不知腾讯QQ,一直在悄然采集用户行为习惯,后台监控用户操作”(注明:本人对此句引号内画横线内容不负任何法律责任,纯属引用360的说法)
在腾讯,你以为你无法查到的,并不是无法找到了。我曾经取过一个脑残网名,敲了回车之后又觉得不太好,于是当场又更改了,这个只存在了十秒不到的网名,居然也在别人的社工库搜索出来了。
殊不知你才刚刚百度了一下,充气娃娃是什么,等你打开购物网站,第一页的推送就出现了某冰某予同款?你敢说百度没有采集你的搜索习惯?百度还会自动分析你喜欢点的搜索结果,我喜欢吃一个饭馆的菜,在百度地图里搜了几次这个菜馆,后来在百度搜索里面这个饭馆老排在第一页,然而我朋友搜却要翻几页才有。这难道不是非人为地“社工了”我的饮食爱好?

然而马云的起点多高?马化腾和李彦宏这些年轻人,老是想搞个大新闻,可我们马云爸爸呢?早就和奥巴马谈笑风生!题主可能并不知道淘宝的千人千面,更不谈阿里云和万网了,这个问题就不深聊了。




4、这个在民间存在,天朝官方是不是有更详细的。。。。好像他们似乎可以自己去看后台

中国的国家机关庞大而臃肿,但是你不要以为这只是一个花拳绣腿的胖子。你要知道,除了少部分不出世的鬼才,大部分勤奋好学天赋超群的人才都是被国家相关单位和机关收录了,偶尔你去相关部门办个证啥的看人家动作慢效率低,但那只是前台工作人员好吗,后台的技术性人才还是很厉害的。比如,中国的身份证查询系统,通过身份证号码,就可以查出这个人的学历学籍居住地、最近的开房记录、最近的上网记录、犯罪记录、考试记录、行车记录,等等等等……
但是说过了,中国的国家机关庞大而臃肿,因为人实在是太多了,有时候很多信息的得不到及时的更新。虽然我只要在派出所刷一下身份证就能看到我的婚配状况,但是我仍然需要回到地方派出所开一张单身证明才能买房,这种操蛋事情很多人都碰到过。


总而言之,天朝官方的社工库,才是最牛的社工库,因为他们有金手指,跨省开门查水表你怕不怕?




====================================================
可能以上我说了太多文字,看起来比较累,也丝毫没有说服力。
所以,不如来作一下死吧。

众所周知,BAT乃是目前中国最顶尖的互联网三大巨头,互联网顶尖的人才、团队,都集中在这三大巨头里面,这些杰出的顶尖的人才,都拥有国内领先的互联网技术、互联网思维,毫不客气的说,这些大巨头里的小兵,放在小企业里,也是能扛大鼎的人物。
那么问题来了,如果你是一个HR,或者是一个猎头,如何挖掘或获得这些大巨头的核心成员资料,方便挖掘人才(挖墙角)。

拿腾讯举例吧。
目前网上早已公开化的信息,就是:

1号人物:马化腾 网名:pony QQ:10001 腾讯公司总裁CEO
2号人物:张志东 网名:Tony QQ:10002 腾讯公司技术总监CTO
3号人物:曾李青 网名:kney QQ:10003 高级执行副总裁兼首席运营官
4号人物:陈一丹 网名:Charles QQ:10004 高级执行副总裁兼首席行政官
5号人物:许晨晔 网名:daniel QQ:10009 高级执行副总裁兼首席信息官CIO
6号人物:曾振国 网名:Patrick QQ:10006 高级执行副总裁兼首席财务官
7号人物:小光 网名:free QQ:10007 腾讯技术部经理 网络总管
8号人物:夜猫 网名:nightcat QQ:10008 早期的腾讯公司的技术开发人员


这些创始人一类的人物,肯定是难以挖动的。(除非你是国际一线企业,其实这些大佬大部分离开腾讯的话只能是自己创业,比较菩萨太大没那么大的庙)


※ 由于QQ群的数据库已于2013年底被脱裤,QQ群的社工库里面收录了2013年以前的所有群成员、QQ号、QQ昵称、QQ群关系的数据。


于是我们来社工一下马化腾的QQ群关系,得到下图。

没错,我们可以清晰地看到,马化腾截止到2013年年底,参与或拥有过的QQ关系群,而且能从群数据里准确地看到其他群成员的QQ号和昵称资料。

大家肯定也有加入过工作群或者生活群的经验,很多时候为了方便分辨,都是用的实名昵称,很明显,在【QQ空间产品中心群】里面,大多数人都是实名的。






所以,如果你是一个猎头,这时候知道该怎么做了吗?
(卧槽,我会不会说太多了!)
(我得声明一下:以上图片皆来自互联网,我不知道他们是怎么产生的!本人不负任何法律责任,谢谢。)


哦,对了,顺便提一下QQ密码的社工库,也是那一年,QQ密码的社工库也发生了小规模的脱裤。


很多密码还是加密的,但是大多数都已经是破解了的,破解成明文的密码哦!
然而你就算知道了马化腾的密码也没什么卵用。


我只是想说:
※ 社工库里连马化腾的密码都收录了,你以为你的密码有多安全吗??


再次声明:以上图片来自网络,如有侵权,告知立删。