回归最本质的信息安全

真实版“张交通”复盘:我如何怼出泄漏个人信息的元凶

2017年6月12日发布

14,083
4
4

导语:这是《网络安全法》生效后,个人用户的首个实用型技巧福利。

这是《网络安全法》生效后,个人用户的首个实用型技巧福利。

垃圾邮件由来

spam.jpg

提起垃圾邮件,大家应该都很深恶痛绝。一个邮箱稍微用过一些时间,各种莫名其妙的广告营销邮件便不请自来。这些广告营销邮件里,很多服务你并没有使用过,但却在给你发广告。

它们发件的邮箱地址从何而来呢?这就要牵涉到国内个人信息保护的大环境了,企业由于安全能力不足导致信息被窃取,内部员工私下盗卖数据,甚至官方主动对外出售用户信息,类似情况大家已经屡见不鲜。

过去由于法律法规不够完善,即使用户发现信息被泄漏,对泄漏方也无可奈何。但随着警方对个人信息贩卖日趋严厉的打击和《网络安全法》开始施行,我们也有武器反击了。

实战如何找出泄漏元凶

怎么操作呢?下边介绍v2ex上一位网友(代号X)分享的案例。

X有个企业邮箱,和大家的公司邮箱一样,可以有一大堆邮箱名。ta在每个网站使用不同的邮箱名,比如百度就用zhangbaidu@x.com、腾讯就用zhangtenxun@qq.com(本文提及邮箱均为虚拟)。这样如果收到垃圾邮件,根据邮箱名就知道是谁家服务泄漏自己信息了。

某一天,X忽然收到一份交通银行的广告营销邮件,收件人叫suishouji@x.com。

6ad2626bgy1fgakfffu6tj20k80mxk3x.jpg

suishouji@x.com这个邮箱,X只在记账工具随手记里用过,而X本人是个隐私洁癖者(不在网上四处留重要邮箱)。显而易见,ta更倾向于怀疑随手记,于是把内容整理成帖子发到了社区。

社区里随手记的人刚好也在,双方交换信息后,随手记便去找交行问了究竟。

一连串问询后,最后自称给交行做推广服务的合作公司出来道歉了。这家公司员工给X发道歉邮件,自称网上爬到X的随手记注册邮箱地址,并非随手记官方主动泄漏,现在已经清除;同时愿意给X 5千元赔偿费用,以了结此事。

屏幕快照 2017-06-12 下午6.19.00.png

最终结果如何,要看X、随手记、交行合作公司的三方沟通吧。我们主要谈的是这种保护个人信息的方式,可以很精准的抓出泄漏元凶,乃至进一步赔偿和追究法律责任,大家都看懂了吧?

那家到处抓个人信息的公司

上边提到,有家给交行做推广服务的公司出来担责,这家公司是个什么存在?三封道歉邮件里略有介绍。

这家推广公司在网络上到处采集个人信息(邮箱、电话等),号称“数据量庞大,来源众多”,会从百度搜索、贴吧、论坛、小电影网站、博彩网站、58同城等各种网页类型采集。

屏幕快照 2017-06-12 下午6.19.14.png

该公司使用的采集工具叫八爪鱼,是业内最知名的网页数据采集工具之一。只要设置好规则,整站数据便能轻轻松松到手,如果有相关漏洞,后台数据也没问题。

本次案例具体分析数据泄漏来源,随手记用户信息遍历漏洞、运营商系统中分析出用户信息都有可能。

比较可惜,整个事件中这家公司没有露出名字,否则恐怕是要吃不了兜着走。

也有网友质疑,只是有个自称某公司的人出来背锅,谁知道说的是真是假呢?

最后

关于企业邮箱使用,有个小技巧,来自X的分享:

在后台管理员界面那里设置,把所有错误的邮箱地址都转发到某个邮箱,即可实现随写随用,不需要每次都开通新的邮箱帐号实现反垃圾。

嘶吼建议,爱折腾的读者们可以先用起来,自己用好了带动朋友来用,先用带动后用,协力反击垃圾邮件。不仅能保护个人信息,还能怼到泄漏者,何乐而不为呢?

本文为嘶吼编辑原创,如若转载,请注明原文地址: http://www.4hou.com/info/news/5415.html

点赞 4
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

嘶吼编辑

发私信

发表评论

    nyy8885
    nyy8885 2017-06-13 16:52

    复制一张前男友的信用卡哈哈哈哈哈哈!

    lapua
    lapua 2017-06-13 15:04

    在考虑以后要不要也用这种方法来搞一下

    llopppp
    llopppp 2017-06-13 10:15

    原来信用卡广告就是这么来的啊…