前日,网上传出消息称,一家名为“我就是社工库”的网站,可以通过输入QQ号查看该号主人大量的隐私内容。这一附有数张网站截图的消息,立刻在微博中被转发了近2000次。网站被群众举报后,当晚已无法打开。
该网站只是网络众多“社工库”网站中的一个。据了解,“社工”的意思是社会工程,在黑客圈指一种黑客攻击以获取情报和信息的方法。网上的“人肉搜索”就是对社会工程的一种应用。
同时,社工库的搭建源代码和查询使用的用户数据库,都被这类网站当作牟利工具在网上叫卖。
“一秒钟记住域名:我就是社工库。”前日早上9点,这家“我就是社工库”网站“火”了一把,附带了网站截图的举报消息在微博上被转发了近2000次,使这一网站在当晚成了热门话题。
北京青年报记者发现,该网站是一个模拟搜索引擎页面构造的信息查询网站,分为“QQ密码查询”、“QQ资料查询”和“开房记录查询”三个部分。其中,QQ密码和资料的查询需要输入想要查询的QQ号,而开房记录查询则需要输入相应的身份证号。
在QQ资料查询中,北青报记者输入了相应的QQ号,发现可以查到此号码几年前使用过的昵称,以及加入过的QQ群组的情况。点开号码加入过的群组,可以查到群组内所有成员在群内的昵称,以及群组介绍。
由于北青报记者所使用的QQ号加入了小学、高中和大学同学组建的群组,而在这类群组中,同学之间往往使用真实姓名作为昵称,因此查询人立刻就能知道QQ号使用者的真实姓名,以及其各个阶段同学们对应的QQ号。
根据这些信息,查询者可以清晰地看到QQ号使用者的好友圈、生活圈、工作圈等大量个人隐私信息。而在QQ密码查询和开房记录查询两项,则需要注册并交纳50元才能继续查询信息。
然而,北青报记者在调查中发现,类似的网站并非只有一家,并大都以“社工库”命名。
从事网络工程方面的业内人士毛先生称,“社工”的意思是社会工程,在黑客圈指一种黑客攻击以获取情报和信息的方法。网上的“人肉搜索”就是对社会工程的一种应用。而社工库是用各大网站用户的资料数据库搭建的数据库查询平台,“人肉搜索”有时候就会靠查询社工库信息来进行。
毛先生介绍,由于社工库里的信息往往涉及用户隐私,所以社工库网站往往是非法的。很多网站经常被举报或者查封,过段时间又会换一个网址重新出现。一些社工库网站的服务器还设置在境外,以躲避公安机关的调查。
“查一下社工库,哪怕你什么代码都不会编写,也不是黑客,但是却能得到本来十分隐秘的别人的信息资料。”毛先生这样形容着社工库的危害。据他所知,有很多完全不懂信息工程的网友在使用社工库来查别人的信息。
他说,这类社工库网站的数据来自两方面。一方面是黑客“爆库”。“爆库”的意思是指黑客攻击网站后,窃取并下载网站数据库的行为。数据来源的另一方面,就是一些不负责任的小网站出卖用户数据。现在很多用户在多个平台上都用的是一个密码,所以有时候社工库的团队买下一些小网站的用户信息后,经过加工也能去牟利。
他说,从前晚被曝光的“我就是社工库”网站的信息来看,该网站掌握的用户数据库是多年前腾讯等网站的数据。
尽管此前在微博中被举报的社工库网站已经被封,但仍有多家社工库可以查询信息。各个社工库所涉及的信息资料也有些差别,除了QQ资料信息、身份证信息以外,有的社工库还会有163邮箱、126邮箱等用户的信息。这些社工库网站只会免费开放一小部分信息查询内容,想要查询其他内容,则要付费。此外,一些社工库网站还会贴出广告,表示可以出售自己掌握的整个数据库。
其中一个社工库团队表示,自己全部展示出的数据库售价1500元,另有腾讯QQ、阿里巴巴、中国联通、51job、银行、购物等各大网站跟论坛的“影响极大”的数据库。
其公布的数据库目录列表显示,多家大型网站的用户数据均被其掌握。这些网站涉及、新浪和腾讯微博、当当网、谷歌gmail、多地的人事和教育考试网站、多个知名高校的网站、团购网站、交友网站以及银行网站等。该网站团队表示,列表中的数据“只是本人出售的数据其中的一小部分”。
“这是一个钓鱼欺诈网站,用于套取和诱骗用户账号信息。”在“我就是社工库”网站的举报消息发出两小时左右,微博认证为“腾讯科技(深圳)有限公司”的名为“腾讯用户服务”的账号公布消息,表示腾讯已经启动打击网络黑色产业链的雷霆行动,尊龙凯时公司官网对于欺诈、钓鱼、盗号等网络黑产,正在联合警方重拳打击。目前腾讯已经将这个线索留存并反馈给警方。
此外,腾讯提醒网民说,如果发现类似这种声称可以查询用户信息的网站请马上举报,腾讯将联合警方进行分析研判。警方提示,不要随意在不明网站上输入个人账号信息,以防受骗被盗,造成损失。