隨著網絡的發展,個人信息洩露情況不斷升級,個人信息在“黑市”的販賣日益猖獗。網絡中早已公然兜售酒店開房等信息,而這些信息僅可在少數渠道才可獲得,準確度之高令人觸目驚心。
0×01起因
經調查發現,從開房記錄流出到出售再到推廣網站,已經成為一條成熟的產業鏈,本文為針對查開房網站背後作者的一次追溯。
0×02正文
通過多個網站上提供的不同QQ號碼,我們聯繫到了幾個查開房服務的提供者。查詢分全國或省市,標價不同,簡單的聊了幾句,沒得到有用的信息,只得到了支付賬戶。
這些支付寶實名信息是松原市的一家企業,雖然郵箱不同但是認證信息一致,初步判斷是同一夥人製作。
0×03信息收集
由於眾多QQ均為新號,無法通過QQ得到需要的信息。既然查開房網站可能是同一夥人製作,俺就從網站作為突破口。
1. 通過搜索引擎,whois信息收集,旁站查詢等方法收集整理如下域名:
2. 通過Web取證到更多可用信息
網站大致有三種模板,都是asp編寫,都存在SQL Injection漏洞,後臺可以getshell,大部分網站為站庫分離,分離的網站均外連到同一臺mssql服務器(IP:117.18.**.***)。
數據內容為之前洩露的2000W(1.7G)開房數據,至此我們更加確定這些網站的製作肯定為一夥人所為。
通過查看這些網站裡配置文件中的發信配置,均指向一個郵箱poi*******@163.com,密碼為:8401******。
0×04社工
1、登陸該郵箱得到以下信息:
郵箱暱稱:青青
通過信箱中某備案系統給其發送的郵件,得知該郵箱下有一備案信息,指向公司為中山柏高清潔劑企業有限公司。
郵件中我們發現郵箱po******@163.com,根據命名規則,我們推測這個郵箱為作者另一個郵箱,發件人為葉衛權。
附件中都是些非法網站的源碼,看來作者不只是做查開房站點。
在郵件中我們得到123******和851*****兩個企鵝號及企鵝郵箱po****@qq.com。
通過郵箱常用登陸地址查詢,可知作者應是廣東人。
手機號:134*****297
和一些常用的暱稱,用戶名:青青,poisonlv。
2、社交信息
通過收集到的常用用戶名搜索社交賬戶,整理後得到如下信息:
http://www.dawang****ware.com
http://www.bia****yc.com
QQ851***09
QQ815***9
郵箱:
Poiso***[email protected]
貢獻詞條:
中山柏高清潔劑企業有限公司
0×05水落石出
搜索得到的QQ可以確認為同一人,並得知:
手機號:134*****297,郵箱:pois***[email protected],姓名:葉衛青,曾用名:葉衛權,住址:廣東省江門市江海區。
通過群關係搜索另一個QQ群,得知作者曾就讀廣州大學紡織學院01計算機系。
通過社工庫及常用密碼得到部分社交應用信息,得知該作者女友名字叫徐蕾,與之前貼吧得到的信息一致。
支付寶實名再次認證了前面推測的準確性。
0×06總結
到這裡整個追溯過程就結束了,本想把Web環節寫的詳細些,最後還是略掉了。梳理一下整個過程及思路,最後附上張簡單的邏輯圖。
0×07寫在最後
希望作者能儘快關閉網站,不再繼續洩露個人隱私。隱私保護問題還是要從根源解決,建議有關部門及時從銷售渠道端追查非法交易,遏制“黑產”氾濫。
閱讀更多 蜻蜓微微點水 的文章