到底是谁泄露了我炒币的信息?

Track-SSG   ·   发表于 2019-01-30 11:00:46   ·   漏洞文章

等我回过头来想,一切似乎是从一个漏洞开始的。

可怕的传销从一通电话开始

清晨起床打开窗,阳光美美哒。

2019年新年伊始的一天早上,接到了一通来自广东的神秘电话,你好,请问是陈先生吗?最近还有在看币市吗?

传说中的空气币找上我了?我接了无数的广告推销卖保险网贷卖房的电话,第一次接到推销币的电话。出于好奇,我接着聊了下去最近行情不太好,还在观望,咋了?

咱们这边是火X网的合作伙伴,我们最近开了门课程,想邀请您体验下。看您这边之前有投资N元xx、xx这些币,还在持有吗?

作为一名安全(qiong)工作者(b),我的注意力都在这件事情上:他清楚的知道我的姓名、电话、甚至我投资过的币种,以及多少钱!??(黑人问号脸)所以我断定,名单和信息不知道从哪里买来的,但一定是一起某个我使用的区块链网站/app信息泄漏的事件。而这个课程网站,很可能是传销的第一步。

不知道是出于猎奇心理还是正义之心,我决定一探究竟,这到底是什么样的一个学习平台,而我的信息又是怎么泄漏的。后来我才知道这位电话联系我的人,是这个学习平台的群管理,自称为“老师助理”,负责“招募”学员及币友。

中间因为工作繁忙打断了两天,当我再试图通过微信联系这位管理时,此时对方的微信号已经封号了。于是又通过电话联系了对方,而此时,对方已经把平台名字改成了“币S客”。对方给我提供了在线课程的网站链接和一个临时账户名密码,登陆就可以观看。体验课程是免费,一年的会员费对方闭口不谈,只是让我看视频体验先。

“在线学习”网站背后的传销组织“

课程表上工作日每天都有四节课,下午3点-4点一节,其余3节课在晚上7-10点。

image.png

我登录的时候,正好有课程在播。在线课程的网站金“币”辉煌,充斥着各种财富的字眼,「百倍币」「千倍币」的字眼充斥眼球。不好意思,无耻的小编当时差点以为自己要暴富了。即将开启通往财富的大门。。。

刚进入课程的时候,有个普通话不标准的“老师”一直在讲k线,而展示的币也都是主流的数字货币。这?跟我想象中的传销不太一样啊。不是应该所有人一起喊:我们要暴富,我们要发财么???

(表情包:我们要暴富)

然后在课程进行到一半多的时候,聊天室里突然出现了一个提问:有百倍币推荐么?这时候,小编我虎躯一震,这波苦等不亏啊。

这时候“老师”就开始了,为了引起观众的注意,特意在屏幕上用鼠标写上了“百倍币”的字样。

image.png

后续内容过于敏感,请自行脑补。

让学员听的血脉喷张,一夜暴富的心情是课程的开始,随后通过一顿时间的勾搭,顺利进入了“组织”内部的微信交流群。在这里,有统一的“老师”指挥,不定时发操作的截图和口号、笔记,其氛围是这样的:

(截图)

要加入老师的实操团队,需要“开户”,每位老师带“限额200人”的团队,开户门槛有5万-10万美金不等。在连续被洗脑二十天里,我无数次都按住了开户的冲动,因为马上要还花呗白条微粒贷金条了。

我加入的这条线,最高级是“老师”,每个老师可以带“200人”团队;第二级是“老师助理”,负责传达老师的操作、指示,以及招募,每招募一个人,可以得到10%-20%的开户金额的佣金;招募到50位开户币友可以升级为“老师助理”;第三级是“币友组长”,由普通币友升级,招募20位开户币友可以升级为“币友组长”,同样可以得到5%-15%的开户金额的佣金;最次级的是普通币友。在“老师”之上的,我还没有遇到。(这是个高逼格的传销团队)

小编一直在各种渠道的报道中,了解传销、传销币的新闻。当真正的在这个社群里的时候,才发现,传销真的很可怕。每天给你灌输、洗脑,发送各种各样的暴富的宣传图片,交易暴涨10倍的截图,百倍币千倍币的口号。还好,我抵挡住了这一切的虚假诱惑,因为,我穷。

再回顾下整个事情的历程,不得不佩服,现在的传销技术也是越来越好,心思越来越缜密。早已不是海量传呼的年代,现在的传销,都是瞄准了目标,掌握信息。

微信图片_20190123173853.png

因为此类传销电话,非常熟悉“每个币友”投资的币种及数量,所以诱导用户加入课程的成功率很高。至此可以断定,这是一个传销诈骗组织。

到底是谁、是怎么泄漏了我的个人信息?

小编因为是做信息安全行业的,所以很注重自己的个人信息安全,到底是谁泄漏了我的个人信息,我的身份证照片那么丑,被他们都看完了???

小编联系了玄猫区块链安全实验室的安全研究员。他们告诉我,很正常,就拿交易所来看,因为缺乏监管,即使很多大型的交易所网站、app都存在各种类型的安全漏洞。至于中小型的交易所,因为建站门槛低,滥用一些建站框架。毫无“安全性“可言。我们经常曝光一些0day的通用型漏洞,中小型区块链信息服务提供者的安全性和隐私性是重灾区。玄猫安全实验室的成员向我们提供了部分信息泄漏的案例。

案例1

某交易所数据库弱密码,直接连接数据库导致用户,网站敏感信息泄露某交易所数据库为弱密码,攻击者可以直接通过弱密码连接到数据库,可查看管理员账号,编辑用户信息,批准提币等。

image.png

大量用户信息泄露。

微信图片_20190123174200.png

案例2

某交易所目录遍历,泄露用户身份证银行卡照片某交易所网站服务器配置不当,导致平行越权,攻击者可以查看所有用户上传的身份证照片和银行卡照片。

image.png

身份证信息

微信图片_20190123174326.png

银行卡信息

微信图片_20190123174435.png

案例3

非小号上某大型交易所严重泄露20W+身份信息。

修补漏洞只是临时修补,再修补过后不久再次发现同一漏洞源在另一处产生的漏洞。

漏洞详情:泄露云存储私钥,导致可以远程登录获取所有数据信息。

image.png

27万+条用户信息,包含账户、姓名、电话、银行账号、身份证信息等等,请问网站负责人读过《中国人民共和国网络安全法》吗?

监管下的区块链2019

一个小小的漏洞,在很多企业运营者心中微不足道,比不上股价、币价的抬升,但是一个小小的漏洞,可能导致的是信息的泄漏,导致个人信息在暗网廉价售卖,导致一个普通人被传销团伙作为目标接触,导致一个普通家庭的家破人亡。而这最初只是一个小小的漏洞。

国家互联网信息办公室2019年1月10日发布《区块链信息服务管理规定》(以下简称“《规定》”),自2019年2月15日起施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。

监管下的区块链2019,信息安全的规范和要求,说来就来。你准备好了吗?

最后,如果遭遇了诈骗、传销团队,以下渠道可以向政府部门举报:

1.中国互联网金融协会

可以微信关注互联网金融协会微信公众号点联系我们-我要举报进行投诉,也可以进入官网进行投诉:http://www.nifa.org.cn/nifa/index.html

2.银监局

联系各地银监局电话进行投诉,银监局官网:http://www.cbrc.gov.cn/index.html

3.工商部门

全国12315互联网平台:http://www.12315.cn/  

微信公众号:全国12315互联网平台  

微信小程序:12315

手机APP:全国12315互联网平台 

被投诉方所在地工商局投诉热线:023-12315

4.12321网络不良与垃圾信息举报受理中心

遇非法短信骚扰,可向12321网络不良与垃圾信息举报受理中心举报投诉。

举报短信网址:https://www.12321.cn/sms

举报骚扰电话网址:https://www.12321.cn/harass

举报短信/电话轰炸网址:https://www.12321.cn/bomber

举报电话:010-12321

*本文作者:BUGX,转载来自FreeBuf.COM


打赏我,让我更有动力~

2 条回复   |  直到 2019-2-2 | 1500 次浏览

无名
发表于 2019-2-1

emmmm

评论列表

  • 加载数据中...

编写评论内容

梦泽
发表于 2019-2-2

啧啧啧

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.