互联网防开盒基础指南

你听说过开盒吗？如果你听说过人肉搜索，某种程度上「开盒」跟它是一个意思，一种网络暴力手段。将受害者真实身份、姓名、照片、生活细节等个人隐私公布于众俗称「开盒」，汇集网友的智慧，讲讲开盒。

在讲开盒前，先要讲明一个知识点，什么是社工库？黑客们将被泄漏的数据，整合分析然后集中归档在某一类媒介上，这一类在线上如同百度搜索，输入关键词即返回数据。这些数据大部分来自以前黑客们拖库撞库获得的数据包，已知的泄露老数据，包含QQ、网易、快递、京东、华住集团入住数据、定位数据等等。这里说的数据大部分为陈年老数据，但随着灰色产业的发展，如今的数据库也颇有规模。

你被泄露的信息会带来什么影响？泄露了手机号，手机号 = 身份证，身份证 = 信息的通行证。2010年9月1日中国正式实行三网手机号实名制。如果一时半会无法理解，可以用你自己来反推，如果你经常使用的国内邮箱是QQ邮箱（QQ + @qq.com)，那么通过QQ号可以查询到手机号，因为实名制的关系，你的姓名和手机号产生了关联，以基础的社工库（老数据为主）举例，当对方知道了你的姓名、手机、QQ，即可以用已知的信息进行更复杂的社会工程。手机号会不会注册了微博，微博会不会绑定了新手机号码，新的号码会不会又附带了其他身份信息（收货地址、身份证、网名等），在搜索其他服务数据的同时，会不会出现曾经的历史密码，如密码是19750703sky，结合你的身份信息，是否又能反推出你曾经的密码使用习惯，通过数据字典，可能尝试破解你目前正在使用老密码的服务。如果成功破解，会不会又出现新的信息呢？……

实话实讲，你无法避免对你有恶意的人利用灰色手段去获取你的信息，但你可以通过一些行为习惯来减少相关信息的泄露，随着国内相关法律的推动，你的隐私正逐步被保护，法律手段会成为你的后盾。

当连接一个公共 WiFi 时，服务提供者会得到什么信息？

手机的 MAC 地址（如果此项提供给 App 服务商，则他们可以确定背后的用户是谁）
手机号码以及背后的实名制信息
手机的品牌、型号、生产年份
如果连接的时间足够长，那么可以得出用户的网络产品使用偏好

当使用一款 APP 或者软件时，服务提供者会得到什么信息？

用户的设备信息（手机、电脑）、网络信息、系统版本
用户的 IP 地址（IP在某种程度上可以当做是互联网上的身份证，不绝对，但具有可行性）
如提供相关的调用权限，此类信息可能被上传（如手机上提供获取APP列表、获取通讯录、定位信息等等）

国内开发者与国外开发者的区别？

在某种程度上说没有区别，都是开发者，某种服务的提供者，但不同国家对于其数据的使用并不相同，有的需要根据本国法律做出相应的限制或增加相关的功能，如：某App要求绑定手机号，手机号并不能说明什么，但在大陆手机号几乎等同于另一个形态下的你。

不能说相信国外开发者你的隐私就没有问题，要根据情况来看，是谁获取到了信息，信息对于对方又是什么用途，数据分析、用户行为分析？还是实名信息分析。

关于网络账号与社交通讯

不信任自己以外的任何人，包括你的妻子和父母。
颗粒度化网络身份，每一个网络身份都只有单一功能。每一个账号都应该单独拥有不同的 ID、密码、邮箱和需要绑定的手机。
关于手机号：虚拟号 > 境外未实名手机号 > 境内他人实名手机卡。
坚持非必要不使用任何国内服务以及软件。

具体明细：

对于不同的服务，应该使用不同的用户名。
对于不同的服务，应该使用不同的电子邮件地址，保持一站一邮。
尽可能地启用双因素认证。
避免使用生物识别技术，例如人脸识别和指纹识别。
避免使用真实的 IP 地址以及 Proxy、VPN 或 TOR 登录不同身份的账户。
不要发布可通过反向图像搜索追溯到您身份的照片或图像。
不要在任何网上论坛讨论个人喜好或具体位置。
避免安装任何中国公司制作的软件。如果必须使用这些软件，请将其放在虚拟机中运行，或使用单独的安全硬件设备隔离并关闭所有权限。
遇到垃圾邮件时，请不要回复或阻止它。
原则上不要发布或分享不必要的个人信息。
不要在网上与网友进行辱骂。这可能会暴露您的语言风格和时间信息。如果需要发泄情绪，可以使用一个脚本定期自动发送语言风格的消息。
对于安全需求较高的人，建议定期制定静默期，并故意发布虚假信息，例如 “使用 Linux 但自称使用 Mac”，以防止样本空间缩小。

互联网防开盒基础指南

当连接一个公共 WiFi 时，服务提供者会得到什么信息？

当使用一款 APP 或者软件时，服务提供者会得到什么信息？

国内开发者与国外开发者的区别？

关于网络账号与社交通讯

相关链接

添加新评论

最新文章

最近回复

分类

标签云