如何看待 2014 年 12 月 25 日網傳 12306 賬號信息泄漏（含明文密碼）一事？

01-25

大量12306用戶數據在互聯網瘋傳包括用戶帳號、明文密碼、身份證郵箱等（泄漏途徑目前未知）

[多圖]

12月29日10點更新。

12306已經承認他們的移動客戶端介面有暴力破解/撞庫漏洞，即第三方用戶可以利用該介面無限制地進行密碼嘗試，看起來他們似乎也沒有對密碼錯誤事件進行監控，據說12306還有其他的安全漏洞，本周他們請了不少信息安全廠家去做診斷，還發布了「高達」2000元人民幣的漏洞獎勵，以後黑客都不要攻擊他們了，直接去領2000元多簡單實惠！

這個事情還有很大的存疑，原因是整個事情並不完全符合邏輯，攻擊者所掌握的資源、攻擊手段、和攻擊的目標，動機完全不匹配，當然也有可能攻擊者主要是用右腦來考慮問題的，這個就不是我擅長的了。

==========

12月27日9點更新，已經變成長篇連載了。

預感沒錯啊，事情還在繼續發酵，有人開始兜售所謂「13萬以外的數據」了。

上圖來自烏雲

一波還未平息，一波又來侵襲，是蓄意炒作？還是內幕爆料？

兩位嫌疑人已經被抓，有組織犯罪還在繼續，是「遙控犯罪」？還是「頂包俠」？或者「竇娥冤」？

究竟是「模仿犯」？還是深海魷魚浮出水面？

=========

12月26日13點更新，不要這麼著急蓋棺定論。

跟幾個圈子裡的朋友討論，覺得這個事情還是有點蹊蹺的，比方說現在講的都是犯罪嫌疑人遠程用第三方網站的用戶帳號密碼去嘗試12306，可是12306購票網站是需要驗證碼的，驗證碼是怎麼繞過的？（高鐵管家APP似乎就支持驗證碼自動識別）就算嫌疑人找到了Web介面可以繞過驗證碼直接去嘗試登錄，為了得到13萬用戶數據，至少要嘗試百萬次這個規模（不是所有人都在不同網站用相同帳戶密碼，也不是所有用戶都會去那些遊戲網站註冊），這麼大規模的跑密碼，12306一點都不知道？12306不記錄密碼登錄錯誤？

然後動機呢？費這麼大力氣，就是為了公布出來作個大死？

我是推理迷，相信陰謀論，繼續等信息，做進一步的分析。

======

12月26日12點更新，中國鐵路官方微博消息，昨晚，鐵路公安機關將涉嫌竊取並泄露12306網站電子信息的兩名犯罪嫌疑人抓獲。

依據現有的信息，我們再來看一下時間線：

1、犯罪嫌疑人使用第三方的社工庫（密碼已經被破解）對12306網站進行用戶名密碼遍歷破解嘗試（即俗稱「撞庫」），犯罪嫌疑人開始宣稱有12306的庫；

2、12306報案，並發布公告，稱密碼是密文存放的，網站很安全，希望大家警惕搶票軟體（這應該不是事先策劃的，只是轉移視線並且順手黑一下死敵）；

3、網路上開始流傳14MB版本的用戶帳戶密碼，這個版本是真實的；

4、網路上開始流傳幾十GB版本的用戶資料，這個則是假的；

5、有掌握12306漏洞的黑客出於「出名」或者「不忿」的理由，當晚暴了12306其他子域的安全漏洞；

6、大家開始猜測是不是之前的14MB版本只是一個子庫，12306整個資料庫被拖了；

7、官方微博稱，已經抓獲犯罪嫌疑人；

我們繼續等待更新的消息。

=============

12月26日8點更新，事情愈演愈烈了。

12306貨運服務平台存在Strust2框架遠程可執行漏洞，至少涵蓋六個子網站，黑客有可能利用該漏洞攻擊12306整個系統，目前尚未有更多被泄露的庫流出。（之前流出的所謂幾十GB的庫是中國漫威著名超級英雄勵志片）子網站清單在最後附錄。

現在看來，12306被黑客入侵竊取數據的概率還是蠻高的。

之前泄漏出來的庫格式如下：

假設之前的部分用戶數據泄露和後面的可執行漏洞發布是同一批人，那麼可能的情況應該是：

1、利用漏洞將12306全部或部分用戶數據下載到本地；

2、利用本地的已經破解密碼的社工庫與12306的庫進行對比分析；

3、獲得部分用戶名帳號重合用戶的明文密碼，導出到14MB的txt文件；

4、發布。

如果是這樣的話我們可以大致推導出本次攻擊的黑客手上的社工庫並不全，不然就不是14MB了。

也有可能之前數據泄漏和之後可執行漏洞發布是兩批人，可能的情況如下：

1、第一批人通過某種方式拿到了部分12306的用戶數據；

2、第一批人發布在網站上；

3、12306出來發布公告說他們沒有被黑客竊取數據，密碼是加密的，出問題的多半是搶票軟體；

4、也許是因為第一批人的行為，也許是因為12306不承認存在漏洞，第二批人決定發布手上的漏洞；

另外，還有第三第四批人手上也有12306的漏洞和庫的可能性同樣非常大，只是他們決定悶聲大發財。

我們將繼續觀察事態的最新進展。

===============

以下是12.25日發布的正文：

大家都有點大驚小怪，12306真有很多「敏感數據」嗎？

你的「個人隱私」，身份證、電話號碼、家庭住址、職業、車牌、銀行卡等等早就被泄漏了不知道多少次了，除非你「不住酒店」，「不買機票」，「不買車」，「不看病」，「不打電話」，「不給孩子打預防針」，「不網購」，「不發快遞」……

酒店、電商網站、快遞公司、醫院、車管所、銀行、運營商、地方政府部門……你真的相信他們從來沒被拖過庫？你真的相信從來沒有內部人員一毛錢一條把信息賣掉？

說有幾百個GB流傳也是腦洞太大了，先不說幾百個GB的社工庫值多少錢，人家會不會拿出來免費共享，就說說這個法律責任有多大，真有庫的敢拿出來炫耀嗎？

說這是鐵道部打擊刷票軟體的也是夠了，這是國家部委/央企，哪個領導腦子壞了會拿自己的仕途去賭壓根就不存在的商業利益？而且隨便一個刷票軟體也不止十三萬用戶這個規模。

迄今為止，看到的那個十幾兆的小庫，也就是撞庫撞出來的（再次證明該泄漏的早就已經泄漏了），完全是概念炒作而已，沒有太大的實質傷害。普通老百姓，你只要知道這些信息都不是秘密，還有別把太多值錢的或者隱私的東西直接放網上就夠了。

補充一句，我之所以說目前這個流出來的庫沒太大價值，是因為所有評價社工庫質量和數量的都是基於去重（去掉重複的數據）後的，現在這個庫既然是撞庫出來的（用現有的庫里的賬號密碼去嘗試新的網站），那就等於只是驗證了有十三萬人在某些網站和12306上使用了相同的密碼而已。

………………

出問題的網站清單

………………

http://zhengzh.12306.cn

http://sheny.12306.cn

http://lanzh.12306.cn

http://nanch.12306.cn

http://shangh.12306.cn

http://guangzh.12306.cn

…………………

12306這事兒，頗有蹊蹺。

諸位可當武俠小說一讀。

戒備森嚴機關重重的王府失了竊，驚動了王爺和六扇門。

這盜賊來得古怪。

牆翻得是了無生息，看門的王大爺和狗狗旺財都睡得香甜，一夜無夢。

鎖開得也是利落乾脆，大門洞開，機關未發。

這六扇門的捕快見了也贊一聲活兒好。

可惜地是，進錯了門。

這王府是有些財，在地下室里。

王府有些重要賬簿，賊也沒翻。

賊偷的，是王府的僕從花名冊，這花名冊里，全是各人的雜七雜八登記信息。

張三李四王二麻子，原籍哪哪，請假返鄉，路費幾何。

這賊費了大心思，偷了這花名冊，轉身出了門竟給一頁一頁貼王府門口了。

王府這偌大花名冊，若用心鑽研，倒也有油水可挖掘，這粗暴簡單的張貼，倒是和偷盜的細膩手法一點不搭。

六扇門很快破了案。

倆小毛賊迅速被抓，經供認，原是在路上撿了本盜聖秘籍，迫不及待試了一試。

案件了結，王府上下舒了口氣。

只是有好事者又問了，這盜聖秘籍當年可是絕不外傳，為了這麼個小指南，圈子裡可是幹得火熱，為何就突然這麼輕鬆松地出現在路邊了呢？

這是個問題。

預知後事如何，且聽下回分解。

http://zhuanlan.zhihu.com/fooying/19922073

你說咋看，從百度網盤看唄

那些說12306沒有被黑的淫真是圖樣圖森破，一個賣票的破網站又不是朝鮮信息安全部→_→

亮點在下圖

（以上是泄露的14M數據）

（這是明眼人懂的，我不說什麼了，上次心血漏洞雖然鐵道部沒中招，但不代表struts你死不了→_→）

最後說一下，你又不是hallen，把庫洗完了，該盜的Q幣也盜了，該黑的信用卡都提光了，就為了自己春運回個家就把12306黑下來把別人票退了→_→，退了也就算了，還和媒體說我好厲害哦，積點德好不←_←

唉╯▂╰年輕人啊越來越浮躁了(ノ=Д=)ノ┻━┻

本來發在專欄，現在也順便複製過來。

春運搶票又開始了，通過新聞了解到一款搶票神器比一堆瀏覽器要給力，刷新速度快，，驗證碼驗證也要快很多。自己在淘寶花了15塊(免費的，但不知道哪裡下)買了一個後，果然用360瀏覽器掛了4天都沒搶到票，但用這個神器從上午開始，下午4點的時候已經順利買到票了，且中途沒有任何一步需要我操作，直接去付款即可。

出於安全考慮，我並沒有在軟體上直接支付，因為防止軟體中途攔截竊取我的銀行信息。而是去了12306官網的未支付訂單里支付。一切OK後，我改了自己的12306賬號的密碼。

今天一個朋友在QQ簽名上寫著：馬上修改12306賬號密碼，速度。於是我知道，擔心的事可能還是發生了。

我一直都相信在頂級黑客圈子裡的部分人，至少擁有中國大概3億人的所有在網路上註冊的信息。如：姓名、生日、家庭地址、身份證號碼、手機號碼及郵箱，還有常用的密碼等等。然後再次級一點的黑客擁有的數量也是幾千萬級別。至少天涯、CSDN這種千萬用戶的網站的資料庫都被竊取過。還有今年的2000W開房數據。這是公開的情況，沒有公開的呢？所以毫不誇張的說，中國90%的網民的用戶信息都掌握在別人那裡不是不可能的。然後用現在「大數據」的方式，把所有有用的信息整理一下，那麼居心叵測的人根據這些信息對我們每個人的情況的掌握完全可以媲美國安局的情報系統。

一個搶票軟體能賣多少錢？而且太過於明目張胆了。但用戶信息的轉手出售才更隱秘及獲得更大的利潤。所以這時候又讓我想起了那句話：免費的才是最貴的。當然，如果有人不太在乎自己的用戶信息，還是可以用用那個神器的，但建議至少還是去官網支付，不要通過第三方支付，不在乎自己的用戶信息至少沒人會不在乎自己的錢吧。

以上內容是根據此次事件所產生的聯想，並無確鑿證據證明提到的神器一定會竊取用戶的信息。只是提醒大家在網路上需要更重視自己的信息。

擔心的可以通過這個網站查詢自己密碼是否泄露

驗證準確性的話隨便微博搜搜其他已經泄露的賬號即可。

一鍵查詢您的 12306 密碼手機號身份證號是否已泄露

再次驗證了網民的平均智商，以及各廠商的平均意圖。

另外可以肯定不是12306泄露的，因為我已經接到不止一次的騷擾電話了，不過張口就是問我是不是我一同學，而我用過某個插件給他搶過票並且成功搶到了……

目前我看到了13w數據 14m大小

建議有這個褲子的朋友不要亂分享

怕壞人利用裡面的身份證信息

也希望大家做一個有公德心的人

你們也不希望自己的信息被泄露吧

那你們有別人的信息你們拿去分享在往自己身上想想

利用你的身份證信息去違法你願意嗎

看看我評論里的稱之為人的動物

clack click

Kai LiSina Visitor System

測試隨機登錄了幾個帳號都登錄上去了。

確實是撞庫出來的帳號。

登錄郵箱--密碼--姓名--身份證號--用戶名--手機號--電子郵箱

12306絕不可能明文存儲密碼。

分析了一下泄露用戶的身份證號。

我懷疑是用 CSDN 資料庫撞的。

http://mp.weixin.qq.com/s?__biz=MzA3NTcwOTIwNg==mid=201530781idx=1sn=12ba7dc1147bc518dec17d0c7495cd76scene=4#wechat_redirect

任何一個行業都是一個江湖，有江湖就有故事，追名逐利的人喜歡被寫入故事，踏實做事的人卻希望被隱匿。久而久之，江湖上的故事越來越虛名浮利，聽故事的人也越來越坐井觀天。豈不見無數江湖武俠小說，開篇的人物總是讓我們誤以為是江湖大俠，看著看著才發現一山更比一山高，到最後才發現開篇人物簡直是不入流的小啰啰。而真正的高人，反而隱匿成傳說。

互聯網行業也是如此，大家喜歡創造故事，故事也越來越千篇一律的浮躁：什麼產品上線7天就幾百萬用戶、什麼開發階段就上億投資、什麼90後霸道總裁顛覆行業、什麼大咖的內部分享、從xx看xx的四大趨勢、從xx看xx的十大價值、xx的專註力、xx的微創新、xx的平台化、xx的獨家專訪首次講述xx辛酸、xx概念的深度解析加獨特見解，等等。翻來覆去，好像也就是那麼多東西了。

就好像有些江湖人士，是需要靠賣藝為生，請個會吆喝的幫忙吆喝吆喝，弄個猴子上躥下跳一下，響啰使勁的敲幾下，騙騙幾個外行人，撒點碎銀子，僅此而已。接下來大家再接著吹噓一番，比比誰拿的碎銀子多點，動口不動手。長期以往，有些人招搖撞騙，也竟然成為了一代口碑中的大俠。久而久之，如今很多江湖人士只是賣藝拿貴客的碎銀子為生，如何賣藝賣的更好是大家追求的目標。那些內功心法，武功秘籍，也都成為了歷史，那些大俠們，也成為了傳說。

難道江湖不再是那個江湖了么？其實不然，浮躁沉淪的只是江湖白道，只是這些大內侍衛，鏢局鏢師，衙門捕頭而已。而江湖黑道中，黑客技術、海盜精神，繼續被追捧，虛浮的商業模式永遠不如深度技術被重視，「鐵甲依舊在」的情懷還在回蕩，而地下產業鏈相關的進步也在不斷的深入，並且潛伏起來暗自發展，為了更大的目標和黑暗夢想。

TOMsInsight繼續互聯網黑市的分析報告系列，今天的主角是：社工庫的傳說。

什麼是社工庫

社工庫是社會工程學資料庫的簡稱（Social Engineering Data）。

提到社工庫就必須先介紹一下社會工程學（Social Engineering），這個名詞最早是在2002年由傳奇黑客米特尼克（Kevin David Mitnick）在提出，但其初始目的是讓全球的網民們能夠懂得網路安全，提高警惕，防止沒必要的個人損失。由於米特尼克在黑客界的傳奇地位，很快社會工程學就開始被深入研究並且發揚光大。

社會工程學，準確來說是一門藝術和竅門的集合。它利用人性的弱點、心理的缺陷，以順從意願、滿足慾望的方式，讓人們上當，或以此為入口進行攻擊。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素，利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行攻擊。它集合了心理學、社會心理學、組織行為學等一系列的學科，由於其非法性和在很多國家地區都被嚴厲的打擊，社會工程學也變成了一個見不得光的學派。

但是在黑客群體中，社會工程學就是他們的第一方法論和必修課。離開了社會工程學，黑客們運用的網路技術幾乎都沒有用武之地。如果我們用黑客最喜歡的海盜來比喻，各種網路技術可以比作航海、游泳、劍術、而社會工程學即是海盜們的行為準則和創新指引。

那麼什麼是社會工程學資料庫（社工庫）呢？即黑客在運用社會工程學進行攻擊的時候，積累的各方面數據的結構化資料庫。簡單的說，社工庫是黑客用來記錄攻擊手段和方法的資料庫，這個資料庫裡面有大量的信息，甚至可以找到每個人各種行為記錄（每個人在每個網站上的賬號、密碼、分享的照片、信用卡記錄、訂的機票記錄、通話記錄、簡訊內容、各種社交軟體的聊天等等包羅萬象），比如之前有很火爆的查詢開房記錄的資料庫，就是一個典型的極簡單的社工庫的例子。

那麼社工庫又是如何產生的，在國內的互聯網地下產業鏈中，又是什麼模式的存在，發展又是什麼情況呢，我們接著分析。

社工庫的發展：數據盜竊

既然是傳說，背後就有很多故事，說到社工庫的產生和發展，我們就得先從互聯網的數據竊取與交易開始說起。

互聯網用戶數據泄露一直是行業關注的焦點，從最近的京東用戶密碼泄露事件，到之前的CSDN的資料庫完全爆出，再到如家酒店的用戶數據泄露，網站和黑客在用戶數據上一直在進行著曠日持久的攻防戰。但是爆出來的數據泄露，僅僅是冰山一角，甚至也不到。而且這些信息其實對於黑客來說，根本沒有什麼價值。而對於用戶來說的危害，也沒有想像的那麼大，因為大多數時候這些數據在黑市中幾乎都已經是半公開的性質了。

而數據竊取與交易這個細分領域也幾乎是地下產業鏈隱藏的最深的一部分，很多在互聯網地下產業鏈中沉寂了多年的大佬都並不了解此道的相關信息。絕大多數被盜竊後的網站數據，並不會公開與眾，只是交易後進入到地下產業鏈的其他環節而已。所以目前到底有多少網站的數據已經被竊取我們沒法客觀的進行數據分析。但在互聯網黑市中，大家說起來類似的問題，常用的一個詞是「十墓九空」，也許這個說法有點誇張，但是也可以參考。

我們從2009年以來，通過黑市的輿情監控和專業網路調查，對互聯網每年的流量排名前100的網站（刨去沒有用戶賬號機制的）進行調查，結果如下：

數據竊取產業雖然隱藏的非常深，但是發展歷史永久，地下產業鏈也隨之成熟，對於如何把數據變成貨幣，已經有了非常完整的程序的分工協作渠道。而其模式相對簡單，一般只包括：脫庫、洗庫、撞庫這幾個階段。

在地下產業術語裡面，「脫庫」是指入侵有價值的網路站點，把資料庫全部盜走的行為，因為諧音，也經常被戲稱作「脫褲」。在取得大量的用戶數據之後，黑客會通過一系列的技術手段清洗數據，並在黑市上將有價值的用戶數據變現交易，這通常也被稱作「洗庫」。最後黑客將得到的數據在其它網站上進行嘗試登陸，叫做「撞庫」，因為很多用戶喜歡使用統一的用戶名密碼，「撞庫」也可以是黑客收穫頗豐。

在早期的數據竊取過程中，這幾個階段幾乎都是由同一個團隊、甚至單個人來完成的。發展到今天，已經完全細化成產業鏈，很少有人從脫庫、洗庫一起做了，而變成：定製化模式，或交易化模式。

定製化模式：就是現有下遊客戶指定的某一家網站，然後聘請黑客去脫庫，脫庫後獲得傭金的模式，在定製化模式中，有很強的黑產規矩即數據屬於下遊客戶，而黑客不可以再次出售，或者在一定的窗口期內不能再次出售。

交易化模式：黑客去某一家網站脫庫，脫庫後直接在黑市上尋找下家，在這種模式下一般可以反覆出售，但是由於風險較大，而且數據真實度和新鮮度不一定能得到保證，又充滿了騙局，越來越沒落了。

而下遊客戶定製某特定一家網站的脫庫，是怎麼盈利呢？

大多數時候，都是競爭對手或者上下游企業採購，而且大多數都是主流互聯網產業鏈中的客戶，甚至是傳統企業客戶。其實這個模式很簡單，想一想在生意場上，這家網站的資料庫對誰誰有利，誰就可能是潛在的定製客戶，只不過由於很多主流互聯網企業或者傳統行業很少了解這個地下產業，所以就會有一些中間人，來做中介促成相關的生意，而這些中間一般情況就是黑市裡面的買家或者定製客戶了。

----------------

我們用實際的例子說明：M哥在黑客圈小有名氣，技術過硬。某互聯網醫療產品最近要拿投資，深度用戶不夠啊，通過中間人，輾轉的找到了M哥。M哥奮戰了幾天，直接脫褲了幾家三甲醫院的網路挂號系統，歷史數據應有盡有，結構化分類一應俱全。M哥到手200w，中間人到手300w，而這家互聯網醫療產品由於用戶的激增和數據的全面性，以及對應新產品的虛假運營，多拿來1000w的投資，絕對雙贏。

社工庫的發展：洗庫撞庫

如之前分析，不管數據如何販賣交易，賣給誰，怎麼賣，最後黑客手裡面還會有一份數據，由於黑市一般都採取定製化交易，黑客們不能再次出售了，所以一般情況下黑客們會用這份數據進行洗庫撞庫再洗庫操作。

洗庫主要是清洗這些數據中可以直接變現的部分，但是這樣可以直接洗庫的就能洗出價值的數據，其實並不多。一般都是有預存款或者虛擬物品交易的資料庫才能洗出來價值，例如：遊戲賬號、電商賬號等等。

更多的時候，黑客將得到的數據在其它網站上進行嘗試登陸，叫做「撞庫」，因為很多用戶喜歡使用統一的用戶名密碼，「撞庫」其實可以收穫頗豐。而撞庫和洗庫的過程是配合的，黑客使用自己開發的工具、直接資料庫匹配登錄技術以及配合黑色產業鏈中的打碼機制（之前TOMsInsight報告中有介紹）可以對很多網站進行批量撞庫，一旦成功，可以進行再次洗庫。

這就好比黑客們拿到了一份沒什麼價值的網站的全部用戶名和密碼，沒關係，可以用這份用戶名密碼來嘗試著登錄有價值的網站嘛，如果能登錄，不就可以洗出來價值了么，我們還是繼續看M哥的例子。

----------------

M哥賣掉了幾家三甲醫院患者的挂號數據，雖然到手200w，但是也不滿足。想想這幾百萬條數據，應該還會有別的價值吧。但是M哥又是一個傳統的講道義的黑客，不會再次出售給別的買家。只能從這些數據本身來找到價值了。

M哥嘗試用這些數據登陸QQ、京東、支付寶、淘寶、各類網遊，從而洗掉裡面的資產，但是由於各種網路的安全策略的保護，M哥雖然有收益，但是卻不多，甚至都不夠自己的洗庫撞庫的網路成本，於是M哥繼續沉寂下來，這一沉寂，開闢了一個傳說。

社工庫的發展：構建傳說

在很多時候，社工庫都是一個傳說，就像海盜裡面流傳的那筆誰也不知道的寶藏，只有那塊已經不知道轉了多少手的髒兮兮的殘缺的藏寶圖才預示著它的存在。但是社工庫卻又很客觀的放在那裡，一直存在，一直沉寂。

除了販賣數據本身得到金錢上的利益之外，黑客還會把得到的數據進行整理，製作成社工庫。社工庫是一個積累的過程，也需要大量的人力物力的去建設，同時還是一個漫長的過程。開始的時候就像M哥一樣，單兵作戰的去積累，今天是三甲醫院的資料庫，明天是旅遊網站的資料庫，後天的演唱會訂票網站的資料庫，這些資料庫積累越來越多。

M哥後來遇到了V哥，V哥是同行，手裡面也有很多資料庫，可以和M哥互補，兩人一拍即合，把雙方的資料庫融合起來，內容變得更豐富。而且兩個人不斷的進行分析維護，排除噪點數據和沒有價值的數據，相互關聯，刻意的去豐富一些必需的數據欄位：比如QQ號和密碼、比如手機號、比如身份證號。再刻意的去交換購買補充一些極其有價值的，比如徵信報告。

社工庫的內容越來越豐富，而M哥和V哥兩個人力量還是小，兩人刻意的去聯合同行，組成利益聯盟，把手裡面的數據都放到一個社工庫，組織力量去維護去分析。

這是一個放大的效應，由於社工庫的日益龐大，信息的日益完善，再加上時間的沉澱，很多數據都可以慢慢地浮出水面，可以獲得相當多的信息。目前有一些公開的社工庫，信息全面性和對於用戶隱私的了解以及讓人震驚，但是這才是僅僅公開的社工庫，對於黑客們來說其實已經是沒有價值的信息。真正地下的社工庫的數據信息豐富程度要遠遠更大，也絕對隱匿。

利用社工庫，幾乎可以暴漏出一個網路用戶的全部網路行為、大量的用戶隱私，和一些牽扯到個人身份財產的相關的數據信息。

首先讓洗庫變得更加容易：由於數據量很大信息很全，很多的賬號的的虛擬財產的轉移就不像之前那麼困難，了解到信息之多甚至都可以偽裝成這個用戶去進行操作了。

其次讓各種詐騙變得簡單：之前大多數詐騙都是光撒網模式，而社工庫的完善後，可以非常有針對性對一些特定的用戶進行詐騙。利用數據技術，甚至通過木馬分析一些用戶QQ聊天的內容，尋找有價值的目標，和相對更信任的關係網路。這種模式風險會更小，而且由於詐騙目標相對較大，收益更大。在這種模式下，完成技術分析工作的一般是黑客，但是最後完成詐騙的卻一般不是，黑客把按照客戶要求去分析，最後把可以完成某種特定詐騙的目標連通相關信息出售（黑市稱腳本）。

最後社工庫也成為地下產業鏈的基礎服務商：全面的社工庫基礎數據，也是精準的流量獲取來源，成為流量獲取分發的地下產業鏈的基礎服務和大數據服務商。一些特有的黑色產業目前非常依賴社工庫，例如精準定位的賭博平台、一些p2p金融類型的詐騙、或者是一些商業騙術。

社工庫還可以進行網路的定向攻擊，有時候一些不懂行的人進入互聯網，糊裡糊塗的就被騙的搞的一塌糊塗，互聯網並不簡單，簡單的是那些幼稚的主流科技媒體，真正的中國互聯網行業水很深，深到還沒有外企可以成功的地步。

而社工庫也在不斷的擴大，豐富，並且繼續沉寂。

社工庫的發展：未來趨勢

從2013年以後，國內互聯網黑市上的數據交易產生了嚴重的分層：一些大的數據盜竊團伙早已經完成早期的數據積累構建非常完善的社工庫，對於一般的數據定製需求都不會再接，會專註於更深度變現更強的金融詐騙；而一些小的數據盜竊團伙還在不斷的相互交易、交換數據、而且相對高調的浮出水面，其實危害反而沒有那麼大。

而且出於用戶交互方面的考慮，目前越來越多的移動終端支付或者金融產品的安全策略略淺，再加上更豐富的網路電商活動，導致沉寂在黑產中的數據危害也越來越大。這可能也會是更多的互聯網產品的設計時需要考慮的問題所在。

而真正沉浸起來的社工庫，一方面已經成為傳說，另外還在構建著自己未來的目標，這些才是真正危害，也是對於我們最大的威脅。我們TOMsInsight分析到此很矛盾：在這個主流互聯網都在炒作概念玩擊鼓傳花的騙術，而地下互聯網都在積累的年代，也許我們真的應該沉下心去仔細的去研究去分析去洞察，而不是人云亦云。

「暴漏出來的社工庫都是小孩玩的，真正有價值的社工庫誰也不會暴漏，都在沉寂」， M哥對我們TOMsInsight的調研員說到「有時候真的看不懂現在主流的互聯網，拿幾百萬投資就嘚瑟的不得了，其實就是不入流的賣藝打賞唄，小孩過家家。我們這行很多人都能一天賺出來這個投資數的現金來，反而繼續去沉寂，沉下心鑽研，為了未來更大的打算。「 M哥的話有些絕對了，但是在某種程度上也值得我們反思。

給我們的啟示

江湖的故事會繼續，傳說也會繼續。有些人可以選擇視而不見，有些人也會選擇去逃避。但是冬天始終都會到來，冷暖自知。我們不能要求每一個互聯網人都踏實下來，畢竟一些浮躁的跟風賣藝求打賞也會是很多人的生存之道，但是我們應該知道，江湖並不是由他們構成，那些傳說，也都和每一個故事一樣的真正的存在我們的身邊。

當一個行業的地下產業比主流產業更踏實，看的更長遠，也更注重積累的時候，也許很值的我們所有的從業人員反思。畢竟，傳說應該屬於真正的英雄！

春運，怨言最大的時候給12306捅上一黑刀，感覺是個大陰謀啊。無良媒體和微信公眾號又可以去忽悠媽媽們了……

感覺我娘快該給我打電話了…0.0

反正我的身份證已經被別人註冊了……

那些一看到這個標題就大罵12306的還是先住口吧，這事可能跟12306還真沒關係。

根據廠商描述，單純從密碼泄露這件事來說，12306這黑鍋背得冤。真實原因 @Evi1m0 的答案已經說得很清楚了。

用過獵豹、訂票助手、手機上第三方App的，還是趁早把所有一樣密碼的地方改個遍吧（上次到處改密碼是CSDN被拖庫）……多級密碼的管理方式，在這個時候作用凸顯。

多級密碼知乎上其它問題里有大神介紹過，我就不轉述了。以下僅供參考：

一級密碼：
銀行、第三方支付的支付密碼
二級密碼：
一級密碼用到的登錄密碼
三級密碼：
QQ、公司OA、各類遊戲
四級密碼：
三級密碼用到的二次登錄密碼、有自己敏感信息的社區/SNS/BBS登錄密碼（12306應在此列）
五級密碼：
不重要的社區/SNS/BBS登錄密碼

至於身份證泄露？我們的身份證早就被各種銀行中介醫院賣過不知道多少次了……

別的不說，不要去網上查自己是不是在泄漏名單

分頁阅读： 1 2 3