人肉搜索 vs 個人隱私

www.zhihu.com

當你在知乎上說「有本事來人肉我啊」，你已經是不安全的了，因為知乎需要綁定手機號才能發言，說明你的設備、IP、個人信息都是已知的，總有人能夠知道。

在普通人的視角里，默認自己是安全的，所以有恃無恐；而在安全工程師的角度，默認一切都是不安全的，然後去挖掘其中的漏洞。一定要記住，一切輸入都是不可信的。

好了，開始我們的搜索之旅：

從微博賬號開始，只需搜索公開信息，無需使用任何技術。這裡就不展開講了，在以前的文章里都寫過。記住這4個關鍵點，加上耐心和細心。

1.網路痕迹

2.映射關係

3.泄露數據

4.交叉驗證

光從Lucia的微博，就能找到非常多的關聯信息，具體就不展開了。看到這裡大家可能會慌，覺得自己的信息在網上是透明的。雖然你的確是透明的，但是這裡需要一定的技術門檻，之前出了個題發在想法里

目前只有1人加群，看來有社工庫的人很少，有新數據的人更少，懂得挖掘數據價值的就更更更少了。

上述應該就是大家理解中的人肉搜索，下面來講解一些新的概念。

在傳統觀念中，人肉搜索的核心是人-通過人群對信息的搜集，用來查找人物或事件真相。人工的介入在人肉搜索中扮演著關鍵角色，人越多，能獲得的信息也就越多。人肉搜索最早起源於貓撲、天涯、貼吧，每次都能引發網路熱門新聞。不過隨著這些網路社區的衰落，人肉搜索的傳統也逐漸式微。

另一方面，信息安全問題開始步入人們的視野。大數據時代同時帶來了嚴重的數據泄露問題，買賣數據的問題屢見不鮮。個人郵箱和手機號被販賣，用來做推銷、垃圾廣告，已經影響到每個人的生活。從2011年CSDN用戶資料庫泄露事件開始，國內大大小小的網站幾乎都爆出過數據泄露事件，網上曾經有很多可以公開查詢的「社工庫」系統，每個人都可以查詢到別人的姓名、郵箱、密碼、QQ號、開房數據等，隨著《網路安全法》的完善，這些網站都從消失了，表面上看信息泄露的問題是看不見了。而在地下，數據安全情況變得更加撲朔迷離，數據依然在地下世界流動著。

有時大家會看到「社會工程學」這個詞，在研究網路安全時，人對於安全因素的影響是很關鍵的。我們可以把人看做OSI七層模型之外的第八層-人工層，那麼社會工程學就是針對人工層的攻擊方式，比各種web技術更複雜，會涉及各種人性的漏洞。

從圖中可以看出，人的感情是可以利用。疏忽、好奇、恐懼、慾望、懷疑、移情、天真都能用來做用來詐騙。看來社會工程學變成了欺騙的藝術，除了騙人還是騙人。不過這些對於用戶來說是有感知的，當你看到奇怪的人，收到奇怪的信息，打開奇怪的鏈接時，都應該有點安全意識，默認一切都是不可信的。

另一方面，網上有很多可以公開查詢信息的網站，這些信息對於用戶來說是無感知的，有人在搜你賬號密碼你也不可能知道。這叫公開資源情報計劃(OSINT)，是一種常規的情報搜集手段，從各種公開的信息資源中尋找和獲取有價值的情報。

國外有很多網站可以查詢公開信息，國內的基本被和諧了，即使這樣我們還是可以從公開網站獲得一些信息：

• 從網站登錄介面判斷用戶是否註冊該網站
• 從手機聯繫人判斷用戶是否使用該app
• 從社交網站獲得用戶好友關係
• 從支付寶轉賬猜測用戶真實姓名
• 從點評網評價了解去過的酒店飯店
• 從新浪微博判斷用戶是否在線
• 從知乎回答了解用戶過去經歷（很多人喜歡寫故事）
• 從照片EXIF獲得地理位置
• 從身份證查詢介面獲得身份證照片
• 從文字內容判斷一個人性格和傾向性
• 從評論內容做文本分析（比如分析某男生經常給哪些女生評論）

嚴格來說，這些數據並不是隱私，但是和個人信息關聯，算是個人可識別信息(Personally Identifiable Information)。這樣一來，你的現實身份和網路身份就關聯起來了。加上各種隱私主動、被動泄露，安全風險就非常高了。

大家都對個人隱私十分敏感，害怕隱私泄露，然而安全-成本-方便三個因素是對立的，永遠不可能同時滿足。有人會問，有沒有絕對的隱私安全呢？

當然有，需要各種偽裝欺騙技術和較高的反偵察意識。如果有一天，你消失了，沒有任何人能找到你，甚至不知道你的任何聯繫方式和特徵，你就做到了真正的隱私安全(彷彿是個逃犯)。

最後希望大家不要用技術來做壞事，因為你們技術太弱，做壞事肯定會被發現的。要我查數據、查人、查IP的私信一律不會理，有技術問題可以交流。