身份查询系统查姓名带照片

身份z查询姓名带照片（由姓名查身份z号）

按姓名核对身份z号码(身份z核对姓名和照片)

近日微博发生用户资料泄露事件，引发监管部门的问询和约谈。据新京报记者调查，其实不仅微博的用户数据被泄露，QQ、贴吧甚至LOL游戏账号的用户数据信息都可以在黑灰交易的平台上查到。“人肉搜索”成了灰色生意，花250元甚至可以根据你的名字查到你的户口本信息。

新京报记者发现，根据平台和卖家的不同，“人肉搜索”的种类和价格从几百元到几千元不等，而这些信息都来自黑灰产者用来存储个人信息的“社工库”。

“社工银行是长期存在于黑市的数据，来源广泛，包括在各种信息泄露事件中积累的个人信息，以及在爬虫网络上发现的一些其他信息。社库和人肉搜索违反了《网络安全法》等相关法律、行政法规关于个人信息保护的规定。但难点在于，这些图书馆很多都是历史资料，已经流传多次，很难追根溯源、屏蔽。”3月27日，安全资深咨询专家贝松涛对新京报记者表示。

数据泄露在哪里？

微博:手机号不来自微博专家:泄露来自社工库。

3月19日，微博被曝数据泄露。无声科技CTO魏兴国发布了一条微博(现已删除)，称通过技术查询发现多部手机号码被泄露。3月20日，新京报记者调查发现，多个网络平台上确实发生了相关数据交易，用户的手机号码等更详细的个人和隐私信息，只要付款就可以通过微博账号查到。

对于用户数据泄露一事，微博方面对新京报表示，外界流传的“微博用户数据库”中的手机号并非来自微博，而是黑客从其他渠道非法获取，然后通过微博相关接口批量上传手机通讯录匹配账号昵称。同时，黑客利用非法获取的手机号码，从其他渠道获取信息，形成所谓的“微博用户数据库”进行出售。

3月24日，工信部在官网发布消息称，针对媒体报道新浪微博因恶意调用用户查询接口导致App数据泄露一事，工信部网络安全管理局对新浪微博相关负责人进行了问询约谈， 并要求其按照《网络安全法》、《电信和互联网用户个人信息保护条例》、工信部等四部门制定的《App非法收集使用个人信息行为认定办法》等法律法规要求，进一步采取有效措施，消除数据安全隐患。 要求微博尽快完善隐私政策，规范用户个人信息的收集和使用，加强用户查询界面风险控制等安全保护策略。

新京报记者注意到，工信部和微博都提到了“接口”。那么，什么是“界面”呢？在这次信息泄露中起到了什么作用？

贝松涛表示，App的用户查询接口，是指一个应用系统可能会开放一个API(应用程序接口)来查询个人信息。这个API很关键，需要在安全防护上加强。发起请求者的认证、IP地址认证和证书验证是可选的安全方法。

熟悉黑产运营模式的人士李环(化名)告诉记者，使用App账号核对用户身份的关键环节之一是获取账号与注册手机号的对应关系，然后通过手机号与身份z的对应关系确定用户身份。其中，手机号与身份的对应关系并不是App揭示的，而账号与手机号的对应关系很可能是通过App的开放接口获得的。

李环举例说，微博和脉脉之前因为接口问题“分手”:脉脉和微博合作期间，脉脉用户可以在App的“一次性联系人”功能中直接看到微博的头像和非脉脉用户的名字，这也正是微博向脉脉开放API接口的原因。后来微博提起诉讼，认为脉脉非法抓取并使用微博用户信息，非法获取并使用脉脉注册用户手机联系人与微博用户的通信。双方对簿公堂，最终微博胜诉。

此外，新京报记者发现，包括微博在内的很多app都要求用户打开通讯录权限。对此，贝松涛表示，打开通讯录的权限只是为了获取用户的联系方式，与账号和手机号本身的对应关系没有必然联系。但是通过获取联系方式，获得了手机号和姓名的对应关系，黑客可以根据姓名-账户数据库关联这些信息。"因此，获取地址簿可能有助于增加此类泄密事件的发生."

据一些安全人士透露，微博中的数据泄露与用户的通讯录权限关系不大。用户手机号与用户真实身份的关联并非从微博泄露，而是来自于现有的“社工数据库”。真正需要微博负责的，可能是它的界面安全保护策略。

微博被工信部约谈后表示，公司高度重视数据安全和个人信息保护，针对此次事件已采取升级接口安全策略等措施。后续将按照工信部要求，落实企业数据安全主体责任，做好用户个人信息保护工作。

贝松涛说，账号和手机号的对应关系可以由任何信息泄露事件触发，比如过去的中国居留泄露事件。一个人通常使用同一个账号和手机号注册多个信息系统。

来源「社工图书馆」？

100块钱买4G邮箱数据，70亿条数据的价格是2万

那么，包括微博在内的各种平台的泄露数据与用户的真实身份是如何关联的呢？

3月20日至3月27日，新京报记者在多家黑灰产平台发现，提供姓名查询身份z或提供App账号查询对应手机号码的业务已经形成产业链，这种“人肉搜索”的价格根据平台和卖家不同而不同。

如果有黑灰产卖家提供的“全自动”人肉搜索服务，买家只要交320元成为VIP就可以享受这种人肉搜索服务，服务内容包括查询微博、QQ、贴吧、LOL游戏账号对应的手机号码等。

3月20日，新京报记者向黑产者购买价值约12元人民币的积分进行调查，在微博中获得201条用户信息，其中不乏用户身份z号、手机号、密码、生日等隐私信息。对于微博中手机号定向查询的服务，记者测试查询了三个绑定手机的微博账号。结果两个微博账号显示正确的关联手机号，其中一个给出了微博绑定的QQ等更详细的信息，另一个微博账号显示“无信息”。

李环告诉记者，所有能查到的信息都来自集团的“社工银行”，而查不到的信息则是“社工银行”尚未收集的信息。令人惊讶的是，这个社工库的数据量极大，记者随机查询了10条身份信息，都指向了正确的结果。

“黑灰生产者在这方面‘努力’的时间越长，数据量就会越大。如果他们有足够的耐心收集历史上各个时期泄露的所有数据，他们的‘社工库’中的数据量将达到惊人的水平。“社会工作库”的所有者通常处于人肉搜索产业链的上游。许多数据经纪人和私家侦探在检查用户账户密码或检查开房记录时，实际上是从这些‘社工储存库’购买信息，然后加价卖给客户。”李环说。

3月25日，新京报记者在多个网络平台搜索到不少直接出售社工资料的黑灰项目，价格从50元到2万元不等。其中，一个售价100元的“旧密邮箱数据库”的信息有四个G，都是被泄露的用户的邮箱地址和密码。对于这些数据的来源，卖家称是“网上收集的”。

记者浏览的数据量最大的是一个号称包含70亿条有效数据的“已知所有泄露数据库”。卖家声称数据库包含28.93亿条邮件信息，4.26亿条身份z信息，8.27亿条手机信息，价格为人民币2万元。

拥有70亿条数据的社会工作图书馆售价2万元。

贝松涛说，社工银行是长期存在于黑市的数据，来源广泛，包括在各种信息泄露事件中积累的个人信息，以及在爬虫网络上发现的一些其他信息。“这些库很多都是历史资料，流传过很多次。很难追根溯源，堵住它。”

“社工库”的下游，是依靠社工库查询各种隐私信息的黑产人肉搜索。

在各类黑灰产平台中，记者发现，由于直接从社工库购买海量数据价格较高，交易最活跃的是人肉搜索。

比如，在一个与黑产相关的QQ群里，有人咨询已知身份z号查询开房记录，有的卖家报价2000元，而某平台上同等的“商家”一般报价700元到1000元。对于查询已知姓名的户口本页面的“查全户”业务，网上报价从250元到400元不等。面对不同的买家，同一卖家往往会提高价格。

黑人说250元可以提供账号信息。

3月26日，记者使用某平台发现，身份z号可以直接按姓名查询，费用固定为123元。如果使用社交平台账号查询手机号服务，它会根据账号相关的准确信息进行报价，比如查询微博数据。如果只能关联手机号信息，收费37元，如果还能关联QQ号等其他信息，收费98元。

北京盈科(杭州)律师事务所律师方超强对新京报记者表示，非法获取、买卖或者向他人提供公民个人信息，情节严重，构成侵犯公民个人信息罪。情节严重的，可以处三年以下有期徒刑；情节特别严重的，可以处三年以上七年以下有期徒刑。“当然，并不是所有与个人相关的信息都属于构成犯罪的信息。它必须是可以组合起来识别特定个人的信息。如果经过处理，无法识别具体个人、无法恢复的信息不属于。”

贝松涛表示，社工库主要违反了网络安全法，比如第二十二条:互联网产品和服务应当符合国家相关标准的强制性要求。网络及服务提供者不得设置恶意程序等规定；用户个人信息还应当符合本法和有关法律、行政法规对个人信息保护的规定。

国家计算机网络应急技术处理协调中心提供的数据显示，近年来，攻击、篡改、植入后门、数据窃取等危害互联网网站安全的行为呈快速增长趋势。国家计算机网络应急技术处理协调中心抽样监测发现，2019年前4个月，我国植入后门的网站达10010个，同比增长22.5%。由于运营商安全配置不当，很多数据库直接暴露在互联网上，导致大量用户个人信息泄露。

新京报记者注意到，政府一直在打击非法在线出售个人信息。例如，中央网信办、工业和信息化部、公安部、市场监管总局于2019年5月至2019年12月联合开展了全国互联网网站安全专项整治。专项整治期间，各地通信管理局、公安机关将依据网络安全法，不履行网络安全义务，导致网页篡改、被植入后门木马、大量公民个人信息被窃取等网络安全事件发生。以及非法获取、出售或提供个人信息的网站等。，根据情节轻重，采取约谈主要负责人、停业整顿、关闭网站、注销备案等措施。，并将其公之于众。涉事企业行政处罚信息将纳入市场监管总局国家企业信用信息公示系统依法公示。