本文略长,但事关你的钱包安全
事件1 华住5亿条用户数据泄露
8月28日,网曝华住旗下所有酒店5亿条用户数据涉嫌泄露
被叫价37万人民币出售
央视和人民日报对此相继发文
据称涉嫌泄露数据包括
▶华住官网注册资料约 1.23 亿条
包括姓名、手机号、邮箱、身份证号、登录密码等
▶酒店入住登记身份信息约 1.3 亿人
包括姓名、身份证号、家庭住址、生日等
▶酒店开房记录约 2.4 亿条
包括同房间关联号、姓名、卡号、
手机号、邮箱、入离时间、消费金额等
华住在全国 380 多座城市、拥有 3800 多家酒店
旗下酒店品牌包括:汉庭、美爵、禧玥、漫心、诺富特
美居、CitiGo、桔子、全季、
星程、宜必思尚品、怡莱、海友等”等
9月21日
上海长宁区人民检察院发布消息
犯罪嫌疑人刘某某利用黑客手段
窃取华住集团旗下酒店5亿条个人信息
犯罪嫌疑人已被上海警方抓获归案
这是《好奇实验室》通过特殊渠道
拿到了其中一部分数据
身份证号、家庭地址、
手机号码等信息都十分详细
5亿条用户信息泄露
会有什么可怕后果
好奇君当时的第一反应是
又有哪个倒霉蛋
要被曝光不该有的开房记录了
NO!
NO!
NO!
这么想
Too young Too simple
事件2 一觉醒来 钱全没了
8月初,网友@独钓寒江雪在网上发帖
称自己手机在凌晨
接收了100多条验证码
支付宝、关联银行卡里的钱全被转走
据广州警方通报,截至今年6月
已陆续破获多起此类案件
该团伙自6月以来已作案16宗
团伙中以无线电爱好者
或电子通信设备“发烧友”为主
负责制造、销售该类特种设备;
还有部分嫌疑人负责
利用个人信息实现盗刷套现
明明什么都没做
手机收到一堆验证码
钱就全没了
想想就觉得恐怖
犯罪分子是如何做到的?
如果事件一和事件二
叠加到一起
会有怎样的可怕后果?
实测 绑定支付宝卡里的5000元没了
实验时间:2018年9月4日
实验场地: 网络安全通实验室
实验人员:网络安全通安全研究员郑毓波、好奇实验室大史
实验内容:不碰大史手机,郑毓波从大史绑定支付宝的银行卡里“盗走”5000元
为模拟事件一
郑毓波知道大史的手机号、身份证号
与支付宝绑定的银行卡号
为模拟事件二
郑毓波手头有不可描述的软件、信号屏蔽器
2台老式摩托罗拉C118手机改装成的伪基站
大史看到的过程很简单
手机先是收到一条
修改支付宝密码的短信校验码
这时大史并不觉得担心
因为根据事先约定,谁都不能碰手机
这相当于自己睡着时手机放在床头
别人看不到也操作不了
然后大史直接看到的就是
银行App的转账通知
一条1000元
连着收到5条
瞬间,5000元没了
再来看郑毓波研究员是如何操作的
一.开启信号屏蔽器
将实验室附近的手机4G信号降到了2G
2G网络在这些高手面前
是“没有加密”的
二.利用旧手机改装的伪基站和不可描述的软件
劫持、接收了大史手机的2G信号
所以当大史手机收到修改支付宝密码校验码时
郑毓波的电脑软件上同时也收到了
实验中,我们还同时接收到附近某人手机上的燃气账号绑定信息
郑毓波研究员说,这类利用伪基站短信嗅探技术
对硬件要求并不高
专业的“背包式”伪基站,信号接收范围在100~200米
像摩托罗拉C118这类老手机改装的伪基站
虽然接收距离只有20多米
但价格非常便宜,50元就能买一部
因为主板预留了一些接口
可以直接改造成伪基站
买的基本就两类人
搞研究的、做伪基站的
三、光劫持到支付宝、银行等发来的密码修改验证码
直接去修改账户密码还是很难的
还需核对用户的手机号、身份证号、银行账户等信息
但当郑毓波事先知道大史的这些信息后
瞬间就能搬空了大史的钱
这就要回到好奇君最前面提到的
华住5亿开房数据泄露有多可怕了
如果这些数据被犯罪分子用于此
可以拿这些基础信息去数据库交叉匹配
从而获得更多的资料,比如其他银行卡号
准确性无疑大大提高
半夜直接上你家门口
他们的硬件和技术成本也会大大降低
在你家楼下劫持手机信号
几十元一部旧手机改装的伪基站就足够用
有了这些个人信息
原本修改账户密码最难的技术环节几乎不需要了
另外,如果你的信息泄露之后
即便不用伪基站,同样有被转账的风险
行业里把这个叫为撞库
A网站数据泄露
可以获得A网站的账户和密码
拿这些去B网站尝试
如果能碰撞成功
也就获得了B网站的用户和密码
这就和以前一把钥匙能开好几辆自行车差不多
防范建议
◆ 手机信号突然由4G降到2G,千万警惕
◆ 睡觉时关机或设为飞行模式,这时短信是发送不成功的
◆ 各种App软件,不要只采用短信认证,如果人脸、指纹等认证,尽量打开
◆ 手机银行和第三方支付平台支持的话,可通过设置交易限额以及禁止夜间交易的方式
■如果觉得本次实测对您或者您的朋友有所帮助
也欢迎在留言区参与讨论、吐槽。
閱讀更多 好奇實驗室 的文章
