我的愿望是—幸福地活着,幸福地死去。 收藏本站
登陆 / 注册 搜索

查看: 3.3K   回复: 2

[# 生活] 我们的社交数据是怎么泄漏的?

回复 发新帖
手摘星辰龙战于野 2019-3-1 16:13:51 |显示全部楼层

人生若只如初见,何事秋风悲画扇。

十万人都在学习的网络安全知识
前段时间,几个新的社交软件出现,那么,很多人使用中发现,哎呀,为什么我没有把通讯录上传,他们仍然可以知道我的好友!甚至很多不再通讯录上的微信好友,也被当作可能认识的人推荐给自己了!9 S& D8 R% ]- S; E$ w
我们的社交数据是怎么泄漏的? 20180926180814-GettyImages-667585627-crop2.jpeg
一时各种猜测。3 d: P9 o/ S, n. {; u; g# H
" f, {, z( y1 @  W0 v
那么,首先,微信是不会透露任何关系链给第三方的。' G, d  o  j9 ]! T

  N( o' g/ w, M5 `分几种情况吧。
6 P" g+ D& M$ v9 ~( k' x3 A5 A  `
第一,通过直接关系的通讯录获取
. w+ s, u; a. ?1 n5 Z# O# P* A7 |0 r0 \6 d* O. n0 Y
你没有上传通讯录,但对方上传了通讯录,你在对方通讯录里。
/ _5 {1 `6 Y1 }6 M* t4 y( o; b/ {5 j+ _7 B
所以系统标记为,你们很可能认识。这个最容易理解。7 ]1 i  h. s& f! W; M" i
' F2 R0 t$ m! N$ r6 r
第二,通过间接关系的通讯录获取% Y5 M4 p2 J! k( D4 [& u+ ]
+ [! [& e2 {( E& X- P9 u- H
你和对方都没上传通讯录,但存在第三个人上传了通讯录,并且同时包含你和对方。
) w1 K$ f; M* n* e# P/ b3 w
/ k( N5 \3 ?4 @* e: t$ Q4 a比如说,A和B都没有上传通讯录,但C上传了,C的通讯录里同时有A和B。
$ q* E4 T! M9 S2 {; s
/ M, p. b  p% ~6 e/ D: ^" o2 O那这个是不是很扯啊,很可能八杆子打不着的关系对不对。
6 r* i* a. b  ~" s4 ^$ m6 V: H0 G' f/ x/ {! r9 p0 F: m: S
可是如果D上传的通讯录里也同时包含A和B,E上传的通讯录也是。- [* U0 d  K# x3 v' {- z

( v& b' v0 L! j' t0 f现在想想,如果设计一个阈值,存在多个人提交的通讯录里同时包含了某两个人,这两个人可能认识的概率是不是就很大了?  k6 E; K; |6 I% o
- f9 c  ]+ X* H2 V! P
再说,人家系统推荐写的就是可能认识的人,就算不认识,用户也不会多想的。
5 y1 v* I& @/ X# |6 D
& B$ E# T7 L3 S' k) a8 _第三,通过转发和访问行为获取
3 H" L5 u+ |2 o& s
4 N( V- U9 Q5 m  f这是前几天在朋友圈看到一个方案,是个图片,追了一下水印,来自于微博的 "Barret李靖",是阿里的员工,但这个是不是原始出处我不清楚,如果还有其他出处烦请告知,方案一看就很靠谱,我用自己的理解描述一下。/ y5 B# g: q8 p7 ]- C' ?7 U

, H! b* N" i( P9 ?- a3 _' M# Y你在头条看到一篇文章觉得有意思,分享到微信,那么分享这个链接就带了你头条的用户标记。微信上你的朋友打开这篇文章的时候,他可能也是头条用户,那么打开时头条会获取他之前访问的cookie,这样就知道他是谁,同时链接的参数也知道你是谁,那么头条就认为你和他应该是可能认识的。2 G, K" ^  B# R

+ |* F! r% Q4 ?) z1 U通过分享朋友圈的点击浏览行为,基于分享者的URL特征和点击者的Cookie信息,可以快速建立可能认识的人际关联。: c/ W0 s& @: Y
6 R: n3 r: \% K# Q7 N7 T3 n. N2 J
第四,抓取公开数据+ m4 I  W0 p  R  i/ \0 G7 |8 s

/ I" Q! C; p; I比如微博,单向关注不能代表认识,但是如果是互相关注呢?那是不是彼此认识的概率就很高了?  f, ^2 H2 N' U! I

/ N3 \+ Z; s" R! @. H9 C: }而互相关注的数据是可以通过爬虫抓下来的。
0 j; I- z6 c6 T7 p9 k+ O7 u% p* n1 e
类似这样的还有,比如QQ空间的评论,我记得是公开的吧,比如linkedin的社交关系。9 ^3 d8 m0 [  j! v
# ?* V/ V! U6 W, h3 |9 u
还有历史上一些同学录产品,或者人才网站上的工作简历,如果你和某人同一时期在某个公司某个部门就职,或者某个学校某个专业就学,系统是不是认为你们或许可能认识。" Q# |5 ~; T2 J
( T7 x5 V7 d* H* o2 G( p
很多产品要求你绑定微博啊,绑定微信啊,绑定QQ啊,绑定这个那个啊,然后他们通过公开数据的关联关系,就把其他很多信息的关联就建立起来了。
  B% e6 J6 X' F4 j- ^% w2 W2 m. H7 H
5 S) _- y5 U! c7 c1 r我记得前两年有个读者,基于公开数据来推断我的好友信息,结果发给我了,怎么说呢,让人有点害怕的那种。
; k2 Q% j1 g/ y8 s5 m( ]
5 s' v" j! d) x1 f' t第五,购买地下数据9 u9 E1 q& t+ p1 @9 y6 c
: S& f, [9 {' m+ t  n' ?/ g' C
应该是2013年吧,7000万QQ群数据泄露,这个数据在地下市场一直有流转,很容易得到。如果某两个用户同在一个群,也许无法得出他们的关系,但是如果同时在多个群呢?是不是认识的可能性会很高?; V; f6 r  F) h. Z0 q- {. g/ y( D0 t

: z+ w% d3 ]9 s$ E* D除了QQ群数据泄露外,还有哪些与社交有关的数据泄露呢?
6 }2 `0 a2 n- p& U
$ L: v% a& K( M! Z8 k. Y开房数据泄露是不是也有很多起了,同一间房开房的除了情侣关系,同事关系也不少,毕竟很多小公司出差两人一间也常见。家庭关系,很多家庭旅游为了省钱是不是也经常亲戚挤在一间。旅游伙伴关系,此外还有商务会议接待,有时候也会把一些商业伙伴安排在一起。这是不是也都是社交关系。3 u9 v- W, Q5 U. d: i7 B2 y# @# }

, q6 H1 H8 A8 d3 w, [7 R其他的还有没有?别问我,我不知道,但地下市场数据库的强大经常是超乎想象的。- |, D0 _1 `: Q

/ t8 @+ h7 h/ ?' e* s' T$ I5 A. X( V大部分会觉得,一个正规企业做事情不会用黑产数据吧,来,说个我知道的,前几年小额贷,网上保险等行业,为了拓展业务买第三方线下数据还少么,第三方线下数据哪来的?哪个是干净的?你真以为巨头就不会买?" T2 w  I8 W  f5 o/ {' J
5 A7 q* P9 B3 c( S" g. x
另外,巨头找第三方做爬虫抓竞品数据的反正我知道有不少案例了。这是另一个话题了。6 T, O2 b: @5 H' N6 j( i
3 j4 V: \0 r; S8 w
总之,互联网无密可守,社交数据有很多种可能泄露,防不胜防,可能他们还有其他手段,我所能知道的可能也只是冰山一角。如果你不想与世隔绝,这事,就现实而言,也没有更好的规避方法。
9 o% T7 b9 a5 S4 B  g" e
" ]0 w( L# A6 g

上一篇:  21世纪20条讽刺语录

下一篇:  终于升级了

和大佬一起学习网络安全知识


左岸云烟「出类拔萃」 2019-3-1 16:28:18 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

尔等果如其母戏寡人欤?
眼泪早已泛滥「出类拔萃」 2019-3-1 20:39:49 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

对于这种刚发的帖子,
8 L4 }& U2 }% \3 G% K. e' t' L3 s我总是毫不犹豫的回了。% m  L1 R9 v" Z6 Y. Y+ y2 F
如果火了就是个前排,6 S4 O3 h6 _- l
可以混个脸熟,3 p0 R3 E8 V2 F7 j$ ?  C* }8 b
说不定谁好心就给粉了…稳赚不赔;
$ p7 W, |: [% b  e如果沉了就感觉是我弄沉的,  k  d2 q2 D# G4 _
很有成就感,6 |5 b- Q1 L  `+ J0 I+ e! m0 o
还能捞经验。{:12_623:}
; l! z: F/ }' a3 F
您需要登录后才可以回帖 登录 | 注册账号  

本版积分规则

关于本站|小黑屋|古黑论

GMT+8, 2020-2-29 21:08 , Processed in 0.029599 second(s), 24 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表