Open the left

[安全动态] 到底是谁泄露了我炒币的信息?

[Copy link]
icq0607 Post time 2020-5-13 19:17:00 | Show all posts |Read mode Print Prev. thread Next thread
作者:玄猫安全实验室
等我回过头来想,一切似乎是从一个漏洞开始的····

                                                                                            ----某位不愿透露姓名的安全从业者

「可怕的传销从一通电话开始」

清晨起床打开窗,阳光美美哒。

2019年新年伊始的一天早上,接到了一通来自广东的神秘电话,

- 你好,请问是赵先生吗?

- 最近还有在看币市吗?

传说中的空气币找上我了?我接了无数的广告推销:植发保健买保险、网贷卖房卖茶叶的电话,第一次接到推销币的电话。出于好奇,我接着聊了下去

- 最近行情不太好,还在观望,咋了?

- 咱们这边是火X网的合作伙伴,我们最近开了门课程,想邀请您体验下。看您这边之前有投资N元xx、xx这些币,还在持有吗?

作为一名安全(qiong)工作者(b),我的注意力都在这件事情上:他清楚的知道我的姓名、电话、甚至我投资过的币种,以及多少钱!??

w1.jpg

所以我断定,名单和信息不知道从哪里买来的,但一定是一起某个我使用的区块链网站/app信息泄漏的事件。

而这个课程网站,很可能是传销的第一步。

不知道是出于猎奇心理还是正义之心,我决定一探究竟,这到底是什么样的一个学习平台,而我的信息又是怎么泄漏的。

后来我才知道这位电话联系我的人,是这个学习平台的群管理,自称为“老师助理”,负责“招募”学员及币友。

中间因为工作繁忙打断了两天,当我再试图通过微信联系这位管理时,此时对方的微信号已经封号了。

于是又通过电话联系了对方,而此时,对方已经把平台名字改成了“币S客”。对方给我提供了在线课程的网站链接和一个临时账户名密码,登陆就可以观看。体验课程是免费,一年的会员费对方闭口不谈,只是让我看视频体验先。

原本以为这个传销诈骗的团伙只是为了一年几万的课时费····看来我还是是图样图森破···

「“在线学习”网站背后的传销组织“」

课程表上工作日每天都有四节课,下午3点-4点一节,其余3节课在晚上7-10点。

w2.jpg

我登录的时候,正好有课程在播。在线课程的网站金“币”辉煌,充斥着各种财富的字眼,「百倍币」「千倍币」的字眼充斥眼球。不好意思,无耻的小编,当时差点以为自己要暴富了,即将财务自由、会所嫩模!!

刚进入课程的时候,有个普通话不标准的“老师”一直在讲k线,而展示的币也都是主流的数字货币。

这?跟我想象中的传销不太一样啊。不是应该所有人一起喊:我们要暴富,我们要发财么???

w3.jpg

然后在课程进行到一半多的时候,聊天室里突然出现了一个提问:有百倍币推荐么?

这时候,小编我虎躯一震,这波苦等不亏啊

这时候“老师”就开始了,为了引起观众的注意,特意在屏幕上用鼠标写上了“百倍币”的字样。

w4.jpg

「后续内容过于敏感,请自行脑补」

让学员听的血脉喷张、面红耳赤、一夜暴富的心情是课程的开始,随后通过一顿时间的勾搭,顺利进入了“组织”内部的微信交流群。在这里,有统一的“老师”指挥,不定时发操作的截图和口号、笔记,其氛围是这样的:

w5.jpg

w6.jpg

w7.jpg

要加入老师的实操团队,需要“开户”,每位老师带“限额200人”的团队,开户门槛有5万-10万美金不等。在连续被洗脑二十天里,我无数次都按住了开户的冲动,因为马上要还花呗白条微粒贷金条了。

我加入的这条线,最高级是“老师”,每个老师可以带“200人”团队;第二级是“老师助理”,负责传达老师的操作、指示,以及招募,每招募一个人,可以得到10%-20%的开户金额的佣金;招募到50位开户币友可以升级为“老师助理“;第三级是”币友组长 “,由普通币友升级,招募20位开户币友可以升级为”币友组长“,同样可以得到5%-15%的开户金额的佣金;最次级的是普通币友。在“老师“之上的,我还没有遇到。

(这是个高逼格的传销团队)

小编一直在各种渠道的报道中,了解传销、传销币的新闻。当真正的在这个社群里的时候,才发现,传销真的很可怕。每天给你灌输、洗脑,发送各种各样的暴富的宣传图片,交易暴涨10倍的截图,百倍币千倍币的口号。

还好,我抵挡住了这一切的虚假诱惑,是因为理智吗?是因为责任吗?,还不是因为我穷!

再回顾下整个事情的历程,不得不佩服,现在的传销技术也是越来越好,心思越来越缜密。早已不是海量传呼的年代,现在的传销,都是瞄准了目标,掌握信息。

传销级别示意图

w8.jpg

因为此类传销电话,非常熟悉“每个币友”投资经历,所以诱导用户加入课程的成功率很高。至此可以断定,这是一个传销诈骗组织。

「到底是谁、是怎么泄漏了我的个人信息?」

小编因为是做信息安全行业的,所以很注重自己的个人信息安全,到底是谁泄漏了我的个人信息,我的身份证照片那么丑,被他们都看完了???

w9.jpg

小编联系了玄猫区块链安全实验室的安全研究员。

他们告诉我,很正常,就拿交易所来看,因为缺乏监管,即使很多大型的交易所网站、app都存在各种类型的安全漏洞。至于中小型的交易所,因为建站门槛低,滥用一些建站框架。毫无“安全性“可言。我们经常曝光一些0day的通用型漏洞,中小型区块链信息服务提供者的安全性和隐私性是重灾区。玄猫安全实验室的成员向我们提供了部分信息泄漏的案例。

01

案例一

某交易所数据库弱密码,直接连接数据库导致用户,网站敏感信息泄露

某交易所数据库为弱密码,攻击者可以直接通过弱密码连接到数据库,可查看管理员账号,编辑用户信息,批准提币等。

w10.jpg

大量用户信息泄露

w11.jpg

02

案例二
某网站目录遍历,泄露用户身份证银行卡照片

某网站权限控制不当,导致信息泄露,攻击者可以查看所有用户上传的身份证照片和银行卡照片。

w12.jpg

身份证信息

w13.jpg

银行卡信息

w14.jpg

03

案例三

非小号上某大型交易所严重泄露20W+身份信息

“修补漏洞只是临时修补,再修补过后不久再次发现同一漏洞源在另一处产生的漏洞”

漏洞详情:泄露云存储私钥,导致可以远程登录获取所有数据信息

w15.jpg

27万+条用户信息,包含账户、姓名、电话、银行账号、身份证信息等等,请问网站负责人读过《中国人民共和国网络安全法》吗?

w16.jpg

「监管下的区块链2019」

一个小小的漏洞,在很多企业运营者心中微不足道,比不上股价、币价的抬升,但是一个小小的漏洞,可能导致的是信息的泄漏,导致个人信息在暗网廉价售卖,导致一个普通人被传销团伙作为目标接触,导致一个普通家庭的家破人亡。。而这最初只是因为一个小小的漏洞。

国家互联网信息办公室2019年1月10日发布《区块链信息服务管理规定》(以下简称“《规定》”),自2019年2月15日起施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。

监管下的区块链2019,信息安全的规范和要求,说来就来。你准备好了吗?

最后,如果遭遇了诈骗、传销团队,以下渠道可以向政府部门举报:

1、中国互联网金融协会

可以微信关注互联网金融协会微信公众号点联系我们-我要举报进行投诉,也可以进入官网进行投诉http://www.nifa.org.cn/nifa/index.html

2、银监局

联系各地银监局电话进行投诉

银监局官网:http://www.cbrc.gov.cn/index.html

3、工商部门

全国12315互联网平台:http://www.12315.cn/

微信公众号:全国12315互联网平台

微信小程序:12315

手机APP:全国12315互联网平台。

被投诉方所在地工商局投诉热线:023-12315

4、12321网络不良与垃圾信息举报受理中心

遇非法短信骚扰,可向12321网络不良与垃圾信息举报受理中心举报投诉。

举报短信网址:https://www.12321.cn/sms

举报骚扰电话网址:https://www.12321.cn/harass

举报短信/电话轰炸网址:https://www.12321.cn/bomber

举报电话:010-12321。

关于BUGX

BUGX.IO是一家区块链安全服务平台。专注于区块链生态安全、行业解决方案、安全建设、红蓝对抗等领域。BUGX.IO生态系统是一个分布式专业安全服务平台,致力于通过人机结合的方式,为区块链生态厂商提供安全解决方案。平台通过安全社区与区块链之间的连接,鼓励安全专家对区块链生态应用合法安全测试,自动化审计协议依赖于去中心化的区块链网络,缓解整个流程中可能的恶意行为,为人工和自动化安全检测提供所需的算力和可靠的信用保障。

商务合作&项目入驻:info@bugx.io

往期好文

【漏洞预警】可登陆交易所任意用户账户的组合型漏洞

国家互联网信息办公室发布《区块链信息服务管理规定》

萌新看过来:干货!区块链漏洞挖掘技巧分享!

智能合约逆向心法2(案例篇)——34C3_CTF题目分析续篇

「漏洞预警」你的账户密码形同虚设,约400家交易所存在高危漏洞

如何解读区块浏览器上的比特币区块链数据?

基于vue开发的以太坊开源HD钱包vuethwallet源码分析

- END -

w17.jpg


区块安全是专注于区块链安全领域的独立媒体平台,平台会定期分享最新的、最专业的安全资讯。从技术剖析、行业动态等方面以专业敏锐的视觉展示对于安全的不一样的角度与观点。

Reply

Use magic Report

You have to log in before you can reply Login | Sign Up

Points Rules

会员达人More+
广告位

信息推荐

更多+

最新信息

More+
Mobile小黑屋

©2019-2020  Abc.info  Powered by©Discuz!  技术支持:ABC.ANS    BAH2020

Admin Email:admin@abc.info      BP@abc.info