疯狂的个人信息泄露不一定都来自内鬼

小情绪闹闹 · 发表于 2023-10-9 11:09:02

有个同事，搞安全测试的，上大学那会儿，大家面向对象编程，他就开始面向监狱编程。

开始跟他接触时，以为他就做些常规的横向、纵向的越权测试，外加一些登陆、请求参数校验啊啥的。

听他做了几次安全相关分享后，才发现市面上的好多系统真的好low，尤其是各个大学的网站，都被他七进七出了个遍，最最最关键的是，进入网站也没用到多深入和厉害的技术。

尤其是利用合法的用户信息，拉取数据库中存储的数据，看的我的是唉声叹气，但等到自己写代码时，为了偷懒，还是会一股脑的给前端返回所有的数据。

所以看了他的分享，我最大的感受就是他利用的不是技术，而是人性，像是这种不合法的参数，前端一定会校验，我一次性返回所有的参数，你前端想要哪个自己去取等等。

他也给我们展示了很多已经公开叫卖的信息，像是大学生的资料，包括姓名，手机号，专业，家庭地址，父母的姓名，身份证号等等，卖家还免费提供了一千条学生信息，供顾客测试和验证真伪。

有家比较出名的快递公司的数据，有上亿条，只卖几百块钱，卖家也提供了一个网页，可以输入手机号和身份证号验证信息的真伪，当场随机测试了几个同事的，结果是直接帮他们回忆起了曾经的故事。

他的手里有一份QQ的数据，有好几亿条，输入QQ号也能查询出相关信息，他就建议我们在网上别嚣张，尤其是在打游戏时，搞不好明天一开门，就被别人一棍打到在地。

而这些信息，只是冰山一角，网民的便利，大都是拿个人信息换来的。

很多公司都一直在利用这些信息赚钱，像是房地产公司，客户什么时候进的大厅，什么时候离开的，一共来看了多少次，后台都显示的清清楚楚，照片也拍的清清楚楚。

真的是，不是不穿衣服才会裸奔，看最近的新闻报道你就知道，就算你穿了棉袄，也是在裸奔。

作者：一水无尘

来自苹果APP客户端