思前想后,我认为还是有必要写一下这个问题,之所以犹豫呢,是因为我不知道这个问题在平台上的敏感度,也许我写了半天,根本发不出来。但是最近在自学一些数据相关的技术的时候,我发现有些工具容易获得的程度,以及他们能够做到的事情,已然到了触目惊心的地步。
数据隐私保护的问题,在国内已经上升到立法层面了,但是对于国内我们个人而言似乎一直是不疼不痒的,除非一些大型的平台数据遭遇泄露炸出新闻的时候,我们跟着起起哄,但其实都没往心里去。这个原因就很奇妙了,我们最后再做分析。
那么我所说的这个危险的趋势是什么呢?就是流量逐利带来的极客手段工具化。流量逐利的盛行,以及流量变现手段的丰富,驱使一些技术从业者正在不断的将以前只有少数人能够掌握的一些方法,做成互联网上能够轻易使用的工具。我会列举一些这种工具,以及它们能够做到的事,以及我们如果想更好的保护自己的隐私,有哪些切实可行的办法。
众所周知,我们这个时代,没人能逃脱互联网的记忆,但是每个人对隐私保护的认知有多少呢。你可能知道通过追踪互联网上的信息,能够查到你的姓名、邮箱,或是学校之类,你可能知道通过某些搜索引擎的照片识图功能,能够找到一些照片的原始来源。但这些相比于我今天要列举的案例来说,都是隔靴搔痒,它们实际上能做到的事情,可能会颠覆你的认知。
开始之前我想先声明几点:
- 我所讲的都是普通人花点时间和力气在公共互联网领域,能够获取到的途径。
- 无需或只需要少量代码编辑,这不是极客知识科普,在极客领域,没有什么是不可攻破的。
- 我会隐去所有工具的名称和获取途径,避免成为他人侵犯隐私的手段。
要认识这些工具,我们先要了解我们在互联网上留下了什么。我们在互联网上的一切,都是围绕几个核心信息的,这里的互联网是泛指,不仅仅包括我们通常能够访问到的网站之类,也包括信息化后的一些机构内部系统。比如酒店使用的订房系统、机票代理使用的预订系统。这几个核心信息是手机号、邮箱、QQ号、微信号、证件号,也包括你从未记得过的:微博id、你家的公网ip地址、电脑的物理ip地址、手机的IMEI等等。这些都是不会变或者短期内不会变的信息,即使变了,你也是不可能一瞬间改头换面所有信息换个遍的。所以通过你还没变的信息,其实是可以匹配到你已经改变的新的信息。
当这些信息围绕一个核心信息聚合在一起的时候,其实就是你的一切了。我们不谈大公司有更完整的做法和更规模化的变现途径,仅仅是互联网上花点力气能够找到的已经充斥越来越多的数据聚合工具,它们的数据来源不得而知,数据完整性也参差不齐,但如果拼凑在一起,你会发现自己过去在网上留下的,想让人知道和不想让人知道的,都聚在一起了。
除了拿一些信息到各大搜索引擎中检索以外,还有那些方式可以获取更多信息呢?我拿自己举例……………
1. 通过照片的EXIF信息锁定地理位置
众所周知,我们现在手机拍照都会记录经纬度信息并且保存在这张照片的EXIF信息里,有无数种方式可以读取照片EXIF信息,当然多数图片在经过转发、下载等等操作后,会丢失EXIF信息。但各位原图保存的云端存储……
我随手在家拍了一张照片:
这张照片都留下了那些EXIF信息呢?(太多了,此处仅保留基本信息和GPS信息)
| 属性名称 | 属性值 | 描述 |
|---|---|---|
| ImageWidth | 3060 | 图像宽度 |
| ImageHeight | 4080 | 图像高度 |
| ResolutionUnit | 2 | 分辨率单位 |
| Make | Xiaomi | 生产者 |
| Model | M2102K1C | 型号 |
| DateTime | 2022:03:11 18:23:24 | 日期和时间 |
| undefined | Mi 11 Ultra | / |
| ISOSpeedRatings | 456 | 感光度 |
| DateTimeDigitized | 2022:03:11 18:23:24 | 数字化创建时间 |
| GPSLatitudeRef | N | 南北纬 |
| GPSLatitude | -作者刻意隐藏- | 纬度 |
| GPSLongitudeRef | E | 东西经 |
| GPSLongitude | -作者刻意隐藏- | 经度 |
| GPSAltitudeRef | 0 | 海拔参照值 |
| GPSAltitude | 0 | 海拔 |
| GPSTimeStamp | 10,23,23 | GPS 时间戳 |
| GPSProcessingMethod | 65,83,67,73,73,0,0,0,67,69,76,76,73,68,0 | GPS 处理方法名 |
| GPSDateStamp | 2022:03:11 | GPS 日期 |
然后我用这个经纬度信息转换成标准经纬度坐标,在地区中一搜:
怎么说呢,搜到的地点(红色坐标)和我实际的位置(蓝色圆点),竟然没有重合,竟然差了好几米远呢。
2 通过语音语音电话获取IP地址
使用某些抓包工具,拨打语音电话给你,就得到了你得IP地址。
通过搜索该IP地址可以得出精确到5公里以内的定位。
然后,这个IP地址也会带一个经纬度信息,再次查询经纬度,我终于找到你了亲人。
3 聚合查询你的邮箱是否在某些平台注册过
机器人自动化工具,利用你输入的邮箱批量到多个平台模拟注册,以检测该邮箱在哪些平台注册过。
4 社交媒体信息检索
对不起,各位的社交媒体都是待宰的羔羊,甚至一堆专门出售此类数据的科技公司。甚至有极客放出的开源工具覆盖了超过300家以上的社交媒体。虽然打着防骗的旗号,但谁又能保证这些不被骗子所用呢?
5 某聚合数据查询
可以通过qq、手机号、证件号、邮箱、微博id,直接查出姓名、用户名、微博地址、邮箱
6 海量付费公共资源搜索工具
一个都不想提,但是大多数这些工具都可以免费试用,什么是公共资源呢,比如社交媒体图像、视频、各类证照信息、亲戚、家庭成员。当然绝大部分付费试用这些服务的都是查询违法记录或者法庭记录,是为了保护自己,是不算侵犯隐私的。
7 社工库
以上看完还好对吧?最可怕的是一个叫社工库的东西,这个东西无处不在。以各种形势存在,各种社交软件账号、网站、机器人、API等等都有他们的影子。他们无限扩容自己的资料库,用一条信息可以查询关联出来的几百条信息。
最可怕的是这一类的产业链都毫无底线,毫不避讳,甚至不屑冠一个防骗的头衔。
举个例子,我仅仅是搜索了一下我的全名。全世界所有叫这个名字的人的信息就蹦出来几百条。更可怕的是这其中真的有我,而且有我的邮箱、电话、QQ号、地址、用户名,甚至,还有密码。
以上仅仅是免费,动动手指就能查到的信息。如果你还愿意付一点钱,房产车产公司信息资产信息住宿记录消费记录……
写到这里呢,其实我已经稍微有点需要喝一杯了。为什么呢,因为这个问题纵使国家花多大的力气去治理,依然会有人去钻空子谋取利益,那我们大家其实都在裸奔。我们多数人并不觉得数据安全受到了多大威胁,反而会开玩笑说鄙人的数据对骗子来说没什么价值。这只是无可奈何的调侃罢了,我们大家都明白,调侃解决不了错的事情一错再错。
这些数据来源答题为以下几种:实名认证要求的手机号本人绑定、各类游戏账号实名认证、24小时爬虫各大平台个人信息爬取、学信网、平台数据泄露数据等等。这里并不是说实名认证不好,我是支持实名认证的,但有些副作用也需要花力气去治理。
那我们该如何保护自己的信息不被泄露呢?坦白说,我们不在网上嘚瑟是可以的,但是不能不再网上买东西 ,不在网上订机票等等。如果说尽量降低信息泄露的风险的话,以下几点可以尝试。
- 不在网上留下QQ号、微信id、手机号等核心信息,凡是能被爬虫爬到的网页,这份快照总归能保留到我们离开这个世界。
- 尽量使用一些安全的账户加密工具,在平台、网站上留下的是面具账户信息,不使用同一套用户名密码。
- 手机双卡双待用起来,使用两个手机号,银行等核心信息使用主手机号,其他各类购物、社交媒体平台使用专门冲浪的手机号。
- 支持区块链技术的发展。
除此之外,我想聊聊对于网络技术的看法。我本人是技术从业者,可以说技术就是我的衣食父母,但在网络技术蓬勃发展的大潮中,我也只是一段被保存在各种小服务器里的信息片段而已。从信息化、SaaS化、数字化,再到智能化的过程中,我们的生活方式、信息接收方式、表达方式,其实都发生了翻天覆地的变化,它带给了我们宏大的叙事、快捷的服务获取、2倍速播放的生活,当然也有暗流涌动的黑色产业链、无法集中的注意力,还有140个字和10秒内的耐心。
我总在尝试寻找有什么东西是不变的,或者是变化没有那么快的,到最后发现,可能没有变的,就是这种寻找本身吧。
