315晚会揭示数据泄露危机：聚焦个人信息保护，探讨纵深防御体系的应用与实践。｜总第281周

0x1本周话题

话题一：通过短视频软件评论区抓用户手机号是怎么做到的？

【315晚会曝光#信息黑洞疯狂窃取个人隐私#，知情人士：窃取个人信息的#获客公司称每日处理100亿条数据#】

【315晚会曝光电子签高利贷 电子签放款人竟不是活人】

A1:不太理解，感觉还是挺高级的，像是信息泄露一类漏洞。能想到可行的点，可能就是他们自己本身有库了。

A2:感觉有内鬼吧？有特殊API？

A3:400的通话记录又是怎么实现的，6块钱一条。感觉运营商有人，这里后半段有提到三网通大数据。

Q：微信公众号拿到手机号这个咋做到的？

A4:信息泄露？就是爬虫，抖音什么的，评论区抓数据。

A5:有可能是多渠道data比对出来的。

A6:这个方式手机号应该获取不到，除非用户主动评论带手机号？

A7:是的，这个之前研究过一段时间，比如某个行业领域的，先搜索关键字，抓取头部播放量高的，然后再抓下面的评论，然后自动分析，有购买意向的，群发私信，有手机号的，直接抓取手机号，电话联系，很多评论区会留电话号码的。

还有一种方式就是跟运营商合作，好多都是这样干的，直接从运营商拿这些信息，某个地区的运营商，获取这个地区的某个行业的用户的号码，比如你访问过抖音上个面所有装修材料的这些用户，运营商可以提供号码给你，这些都是行业潜规则，大家都知道的，心照不宣而已。现在查的都是小鱼小虾，背后的真正的源头不敢查。

访问网站获取手机号，我以前研究的是有几种模式：

• 一些老的wap业务没下线，通过这几个调用，可以获取到访问者手机号，就是那种3gp.xxx.com,wap.xxx.com；

• 还有通过跟运营商合作的第三方的业务的jsonp，获取到当前访问者的手机号；

• 直接给钱给运营商，他们直接给你提供号码来源。

A8:唉，所以很多时候手机号泄露溯源半天都在运营商那儿了，从你注册或者有其他登录记录他们都能第一时间拿到。所以甲方出现用户数据泄露排查个毛线。

A9:实际上，别人知道我们的手机号，以及上网行为就够了，名字不重要。现在骚扰电话短信都不带称呼的。

A10:手机实名制就是最大的问题。

A11:所以要能追踪，出现数据泄露时，是从我这，还是合作伙伴，还是哪。

A12:而且人家是合法业务，有合同有审计的。

A13:我觉得只对君子实名制有问题，该管的没实名，不会去管的倒好追踪了，但实不实名不是最重要的问题，不实名也不耽误搞这些画像，仅仅是降低了成本。实名制没什么关系，也不需要真正实名。一个电话号码就够了。

A14:电信诈骗，手机号溯源没啥用。

A15:运营商的大数据公司，现在也有访问那些资源的标签数据，但是加密的，要是发短信、打电话，最后还是得调他们的通道走。

A16:我想他们会从多个渠道获取数据，然后建立自己的数据库，由于很多人的昵称在每个社区估计都一样的，甚至就是微信的昵称，这样就通过评论昵称知道你的手机号了。

A17:这事最终的解决办法还是在运营商那里。解决问题就是解决掉自己，换你，你回去解决么。这就是为啥平时解决不了，需要上315。

A18:上啥都没用，996，加班，年龄限制这种事情都上了 n 年两会了。解决了？听听就行了，该干嘛干嘛就行了，有能力解决的可以认真一下，没能力的就认命吧。

A19:回到这个话题，我认为评论应该抓不到电话，也可能是撞库补全。

A20:不知道怎么实现的？

A21:dpi.

A22:其他方面有信息泄露，现在各家的脱敏数据一般没有做反爬虫的强对抗。然后黑产非常常态化的撞库补全还有就是运营商侧一直屡抓不尽的流量注入，做用户跟踪。

A23:只能拿昵称撞吧，感觉撞库也比较难，运营商倒是可能性比较高。结合在一起，估计效果八九不离十了。其他口有可爬的信息泄露，手机前三后四，各家露出的不少。

A24:4G / 5G 访问某个 URL， jsonp 就能反馈你的 IMEI、手机号。

A25:有内鬼在网关上提供api，当年百度安全实验室追着推了两年，推动运营商抓了不少内鬼，还帮着鹅厂修了一堆jsonp 漏洞。

A26:评论这种，应该就是大数据对比。内鬼+dpi主要是针对http的产业链。

A27:用户有个固定的uid。

A28:并不是，抖音应该修改了ID。

Q：是指OAID么？

A29:在关注者与公众号产生消息交互后，公众号可获得关注者的OpenID（加密后的微信号，每个用户对每个公众号的OpenID是唯一的。对于不同公众号，同一用户的openid不同）。公众号可通过本接口来根据OpenID获取用户基本信息，包括昵称、头像、性别、所在城市、语言和关注时间。

A30:每隔一段时间，就会自我怀疑一下所从事的工作的社会价值和意义。其实努力做好安全工作所保护的公民数据，早都被行业里面其他渠道泄露完了，只能说是混口饭吃了，为公司打工，换一日三餐。还可以更糟，你保护的这部分价值太大。反过来想，就跟hv一样，总有渠道被打趴，更体现自己工作的价值。

Q：这种获取手机号的方式，是内鬼使坏还是漏洞呀？爬虫没有token，怎么能获得手机号呢？

A31:一般都是内鬼，你防护再好，某些环节突破一下规则，所有防护都失效，规则都是不需要规则的人设置的。

A32:我在想，凡事声称自己有多少亿用户画像的，实质上不都已经是关基了么，都该深入查查呀。我管你是合法买来的还是非法偷来的，反正影响到量级了。

A33:查不过来，现有法律环境打击黑产个体可以，但对于黑产生态滋生蔓延，效果有限。从某种意义上，也属于统筹发展与安全，如果查尽了，其实是影响一些当前合法的生意、业务的。

A34:如何区分这是漏洞还是充分挖掘数据要素，它连脆弱性都不是，跟本群经常吐槽的反诈事业有点像，对银行支付机构的收入影响是很大的，在搞反诈之前，那些都是合法业务，抽成很可观的，靠以盈利为目的的企业自己可没动力抵挡诱惑。

其实细究学术，也只不过差了一个用户授权。当用户同意时，它就是合法营销。当用户不同意时，它就是侵犯隐私。

A35:这个是本质区别的，个保法的核心立法点，自己作为消费者，也的确希望获得这样的保护，否则行业太乌烟瘴气了。

问题出在迄今为止还没有出现被主管部门认可的匿名化方案，匿名化是个保法唯一的出路。

A36:当个人要维权时，每一步其实都是有协议同意的，每一环都是合法的，个人不可能战胜。所以我才说，只有公权以数据量级为分界线去介入，我管不过来，可以先管百亿量级的，以后再考虑十亿量级的。

A37:太多业务没授权了，就是没有开放集体诉讼的口子。我觉得，即使有认可的匿名化技术，也解决不了现状……除非它变成数据共享的强制，监管比较追求不犯错，怕认可后出问题是监管问题，到时候已经推广难掉头，其实可以先有后优，先毙掉原始数据共享，通过这种方式间接认可匿名化。

而且，在精准营销这个场景下，如果我们认为侵犯了个人隐私，那么我有20亿数据，然后我跟你用最强的匿名化技术共享数据，丰富我的画像，其实也没解决问题，匿名化技术不是那个主要矛盾。

A38:个保法还需要加强普法教育。其实很多人真的是放弃了，咱们不能只跟他说重要，却不给路径，那样的是鸡汤执法才是汤勺，才让人相信这个权利是可以企及的。

A39:路径有啊，我们受控匿名化都推了两年了。

0x2