前几天了解到一个社工库bot的存在,在telegram上直接搜索就能得到反馈。一开始看见很震惊,首先查找个人信息,手机号输出后会给出当年注册的QQ号和微博,微博早已抛弃,但是继续查询QQ能直接找到qq群里的各种关系,通过小学初中高中加的学校群的备注查到个人真名。

这还是好的,如果知道我早年的邮箱地址,基本上所有的早期网络冲浪信息都暴露,包括用户名,最常用密码,甚至还有真实世界的地理信息,虽然不准确,但大致区域已经得到定位,最后甚至连当年在美国的地理ip都被记录。查完一圈之后毛骨悚然,虽然说获取这些信息还是有一定门槛,但是被有心人查询还是能够通过各种蛛丝马迹联系许多出来。比较绝望的一点是这里面大部分的信息都已经是永久录入,现在做出任何改变,也无法改变这个信息库本身的内容。而且如果一次性输出过多相关性内容,还有可能被系统反录入,进一步对你的个人信息进行更新。这一点我还是长了个心眼,用了毫无关联的小号查询。细想一下,这种返乡录入的可能性真就像尼采说的那样:

看向深渊的时候,深渊也在看着你。

了解到这个社工库里录入的信息主要包括个人身份证信息,早年QQ号泄露信息,微博信息,贴吧信息,外卖信息和各种早年论坛的数据泄露。。如果一个人在06-14年之间网路活动特别频繁,很可能各种信息都被泄露的干干净净。

面对这样的一个窥探隐私的bot,实在无法忍住好奇心。说不得又查了很多奇奇怪怪的信息。汤君指出了这个bot的真正用途:查现任和前任!…

查询的路径有几种,一般信息的起点是微博或者手机号。微博当年泄露的是用户ID和绑定手机号,16年之前注册的用户,到其主页搜索uid,很大概率会得到绑定手机号,绑定手机号连接着各类信息,包括QQ号,贴吧号,邮箱和外卖信息。QQ号连接着各种群关系,包括学校信息和真名备注,邮箱连通着网络各种论坛的注册信息,包括注册密码,甚至还有注册ip的地理信息。其中最敏感的是外卖信息,因为往往要求送上门,所以个人地址会写的非常详细。这其中各种信息之间的社会工程学分析基本上可以把人底裤扒的干干净净。另外有网友说甚至他11年的开房记录都被扒出来。

除此之外,还有一种以姓名为基础的精确身份证搜索,输出姓名后可以进一步筛选性别省份和城市,如果有被收录,那么个人身份证信息也会被泄露。随便输入一个名字,比如“马冬梅”,进一步缩小范围,确定性别,省份,城市和年龄,最终返回出多条带有身份证的信息。

qwewae这个社工bot目前处于免费状态,但每条查询之间有时间间隔。我不知道这个bot会存在多久,也许明天就会消失。

反思近年来的上网习惯,比早年好很多,避免使用国内的邮箱账号,尽量填写虚拟手机号,密码进行差异化复杂化处理,等等。但早年留下的痕迹已经永远无法消除,只能寄希望自己只是无名小卒,也没人会在意。