隱私泄露 | 查開房網站的背後

*原創作者：Mars@金烏網路安全實驗室，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

0×00

前言

隨著網路的發展，個人信息泄露情況不斷升級，個人信息在「黑市」的販賣日益猖獗。網路中早已公然兜售酒店開房等信息，而這些信息僅可在少數渠道才可獲得，準確度之高令人觸目驚心。

0×01

起因

美(pao)酒(huo)佳(lian)人(tian)的2月14剛剛過完，金烏實驗室的小夥伴們近日注意到「查開房」等關鍵詞的搜索熱度迅速飆升。通過百度搜索發現，很多網站都在提供查詢開房信息和手機定位等隱私查詢服務。

經調查發現，從開房記錄流出到出售再到推廣網站，已經成為一條成熟的產業鏈，本文為針對查開房網站背後作者的一次追溯。

0×02

正文

通過多個網站上提供的不同QQ號碼，我們聯繫到了幾個查開房服務的提供者。查詢分全國或省市，標價不同，簡單的聊了幾句，沒得到有用的信息，只得到了支付賬戶。

這些支付寶實名信息是松原市的一家企業，雖然郵箱不同但是認證信息一致，初步判斷是同一伙人製作。

0×03

信息收集

由於眾多QQ均為新號，無法通過QQ得到需要的信息。既然查開房網站可能是同一伙人製作，那我們就從網站作為突破口。

1. 通過搜索引擎，whois信息收集，旁站查詢等方法收集整理如下域名：

2. 通過Web取證到更多可用信息

網站大致有三種模板，都是asp編寫，都存在SQL Injection漏洞，後台可以getshell，大部分網站為站庫分離，分離的網站均外連到同一台mssql伺服器（IP:117.18.**.***）。

數據內容為之前泄露的2000W(1.7G)開房數據，至此我們更加確定這些網站的製作肯定為一伙人所為。

通過查看這些網站里配置文件中的發信配置，均指向一個郵箱poi*******@163.com，密碼為：8401******。

0×04

社工

1、登陸該郵箱得到以下信息：

郵箱昵稱：青青

通過信箱中某備案系統給其發送的郵件，得知該郵箱下有一備案信息，指向公司為中山柏高清潔劑企業有限公司。

郵件中我們發現郵箱po******@163.com，根據命名規則，我們推測這個郵箱為作者另一個郵箱，發件人為葉衛權。

附件中都是些非法網站的源碼，看來作者不只是做查開房站點。

在郵件中我們得到123******和851*****兩個企鵝號及企鵝郵箱po****@qq.com。

通過郵箱常用登陸地址查詢，可知作者應是廣東人。

手機號:134*****297

和一些常用的昵稱,用戶名:青青，poisonlv。

2、社交信息

通過收集到的常用用戶名搜索社交賬戶，整理後得到如下信息：

百度貼吧ID：poisonlv，廣東江門人，女友叫徐蕾，曾運營的網站：

http://www.dawang****ware.com

http://www.bia****yc.com

通過百度知道，我們得知以下信息：

QQ851***09

QQ815***9

郵箱：

Poiso***v@163.com

貢獻詞條：

中山柏高清潔劑企業有限公司

0×05

水落石出

搜索得到的QQ可以確認為同一人，並得知：

手機號：134*****297，郵箱：pois***v@qq.com，姓名：葉衛青，曾用名：葉衛權，住址：廣東省江門市江海區。

通過群關係搜索另一個QQ群，得知作者曾就讀廣州大學紡織學院01計算機系。

通過社工庫及常用密碼得到部分社交應用信息，得知該作者女友名字叫徐蕾，與之前貼吧得到的信息一致。

通過上面收集到的用戶名、郵箱、手機號搜索微信，搜索結果為同一微信號，可以確定上面得到信息的準確性。

支付寶實名再次認證了前面推測的準確性。

0×06

總結

到這裡整個追溯過程就結束了，本想把Web環節寫的詳細些，最後還是略掉了。梳理一下整個過程及思路，最後附上張簡單的邏輯圖。

0×07

寫在最後

希望作者能儘快關閉網站，不再繼續泄露個人隱私。隱私保護問題還是要從根源解決，建議有關部門及時從銷售渠道端追查非法交易，遏制「黑產」泛濫。

同學們如果有興趣深入交流，可聯繫金烏實驗室，聯繫方式：jinwu@jinwulab.com

*原創作者：Mars@金烏網路安全實驗室，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！