央視揭露的信息泄露網上販賣「黑市」是如何搞到這些個人信息的？

話說，這種黑市調查行動，必先「出賣」同事的信息。

2月16日，央視新聞頻道報道了記者親身體驗購買個人信息服務，揭秘個人信息泄漏黑市狀況的新聞。

先來還原下主要情節：

1.經過同事小王的授權，2月4日中午12點06分，記者把小王的手機號提供給了網名為「孤星淚」的賣家 ，要求查詢小王的身份信息，對方的要價是220元。

2.下午2點56分，對方發來了一張截圖，上面有小王的照片、身份證號碼、戶籍所在住址、民族、所屬派出所等，經過核對，與小王的身份信息完全一致。隨後，對方表示還可以查詢其他關聯信息，包括出入境信息、名下機動車信息和違法犯罪記錄等。記者提出要查詢小王名下的車輛信息，僅過了二十分鐘，對方就發來了信息截圖，內容包括車輛的型號、車牌號、車架號、發動機號等，完全屬實，這一次的要價是50元。

3.記者隨後要求查詢小王的「淘寶」送貨地址，對方要價130元，網上付款兩個小時後，對方給記者發來了小王所有「淘寶」購物的送貨地址，包括畢業前的學校地址和送貨現在的實際住址，小王確認全部符合實情。

4.QQ群里出售的個人出行軌跡中，包括滴滴打車記錄，每一張出行記錄清單的要價是55元。記者向一名信息販子提供了小王的手機號碼，兩個小時後，對方發來了一張滴滴打車清單，時間顯示為2016年11月份到2017年1月份，內容包括這三個月內小王每次打車的詳細記錄，從哪裡上車，從哪裡下車，上下車的時間精確到秒，包括取消的訂單也全部記錄在內，小王把這張截圖裡的出行記錄和自己手機里的打車記錄進行了對照。

……

5.記者向網名為「水中取火」的信息販子支付了1500元，要求查詢小王的手機通話記錄。第二天，記者被告之通話記錄已經拿到，對方發來了一張截圖，上面是2016年9月到2017年2月份共6個月的通話記錄，在總計一千多個通話記錄中，詳細記錄著每次通話的來電與去電號碼，通話時間、通話時長以及每次通話的話費。

以上引文信息均引自央視網報道。最後，在該文中，記者還試了手機定位服務，也成功了。

從上述可知，身份信息、打車信息、淘寶信息、通話記錄及定位信息均一覽無遺。那麼，央視記者從該黑市獲得的這些信息是如何被泄露的？

雷鋒網編輯與安全圈相關專業人士取得了聯繫，請他們就央視上述報道中出現的截圖和材料進行了一些「不負責任」的推理與分析。

首先，擺上最重要的幾點猜測：

1.身份信息如何獲得的？

從相關截圖看，這是某有關權威部門的系統截圖，所以，你懂的。

2.打車記錄如何拿到?

可能途徑一：內鬼作案；

可能途徑二：黑產人員通過打車軟體漏洞獲取了後台數據。

3.淘寶記錄如何被泄露？

通過撞庫等手段直接獲取了淘寶賬號登錄。

4.語音通信詳單、手機定位信息如何被拿到？

可能途徑一：利用黑客手段使用運營商的介面；

可能途徑二：內鬼。

匿名人士一

雷鋒網：1.手機定位是如何做到的？

匿名人士一：這是運營商基站數據定位，應該是運營商和不可說的相關部門的系統。

雷鋒網：2.也就是說，有人和內部人士串通嗎？除了這種方法，有沒有可能通過一些入侵手段實現？

匿名人士一：不排除這種可能，那麼多人都在賣，而且很穩定，所以內鬼的可能性較大，主要是裡面有明確的不可說的相關部門的系統截圖。

雷鋒網：3.意思是，話單、定位，包括打車，都是內部人士搞的數據嗎？

匿名人士一：是的。打車紀錄看去來像後台數據，淘寶那個看起來還像是社工庫搞定了淘寶賬號，因為登陸的是收貨地址管理界面截圖。

匿名人士二

裡面有幾個問題，這麼密集的數據泄露肯定不完全是黑客入侵數據導致的，政府監管側的問題很大，假如說戶籍在基層派出所可以查詢到，那麼手機號碼的定位、打車等數據那肯定不是這麼低級別可以查得到。國家肯定有要求並會對這些互聯網公司的數據進行監管，監管部門的問題比較大。

匿名人士三

有幾種可能性：1.內鬼；2.有未被公開的打車軟體或其他的漏洞、介面被利用。此前，某運營商就被曝光通過漏洞可以查詢任意手機的通話記錄，也有過定位介面。

其實，很多東西和數據只是明面上沒公開，大家不知道。

黑市有很多利益鏈條，其實幫查詢一個人的地址等信息，對相關係統的人而言，就是很順手的事，並且基本不會被發現。

如果說比較有技術含量的地方，就是其中一些數據是通過黑客手段拿到的。但是，我覺得類似這種試試定位的，很難說一個人可以一直維持這樣一個介面或者漏洞不被發現。

央視這一報，估計又來一波打擊黑產了，估計又有一些人要跑路了。

－－

最後，雷鋒網編輯要強調的是，央視網報道中顯示，央視記者已向警方報案，一切以警方調查結果為準。