网易+学信网 你们被拖库了

江湖黑道中，黑客技术、海盗精神，继续被追捧，虚浮的商业模式永远不如深度技术被重视，“铁甲依旧在”的情怀还在回荡，而地下产业链相关的进步也在不断的深入，并且潜伏起来暗自发展，为了更大的目标和黑暗梦想。

今天的主角是：社工库。

****什么是社工库？****

社工库是社会工程学数据库的简称（Social Engineering Data）。

提到社工库就必须先介绍一下社会工程学（Social Engineering），这个名词最早是在2002年由传奇黑客米特尼克（Kevin David Mitnick）在提出，但其初始目的是让全球的网民们能够懂得网络安全，提高警惕，防止没必要的个人损失。由于米特尼克在黑客界的传奇地位，很快社会工程学就开始被深入研究并且发扬光大。

社会工程学，准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷，以顺从意愿、满足欲望的方式，让人们上当，或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素，利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科，由于其非法性和在很多国家地区都被严厉的打击，社会工程学也变成了一个见不得光的学派。

但是在黑客群体中，社会工程学就是他们的第一方法论和必修课。离开了社会工程学，黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻，各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。

那么什么是社会工程学数据库（社工库）呢？即黑客在运用社会工程学进行攻击的时候，积累的各方面数据的结构化数据库。简单的说，社工库是黑客用来记录攻击手段和方法的数据库，这个数据库里面有大量的信息，甚至可以找到每个人各种行为记录（每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象），比如之前有很火爆的查询开房记录的数据库，就是一个典型的极简单的社工库的例子。

社工库真实存在

社工库是真实存在。

并且其恐怖指数远超于你我的想象……

2000万开房数据也就算了，银行流水都能查出来，而且现在交叉推算，普通人的密码对拥有庞大数据库的人来说视若无物。

圈子里有人一直在做网络信息安全方面的事情，有一个怪癖的大神（姑且称之为X）连续十年在完善他的社工库，目前已经有6亿条200多个G的数据，包括姓名、身份证、卡号、密码、住址、联系电话。而我通过和他聊天还知道，还有比他更厉害的大神，社工库比他更完善的大神，收集了差不多中国10亿人口的数据。

我试着在X的社工库搜索自己常用的账号，天涯、QQ、电玩巴士、网易邮箱的密码全部已经被破解成明文在他的社工库里面。然后他告诉我如果他想拿到一个人的账号，比如百度账号，他只需要搜索出这个人的相关资料，然后通过密保问题、找回密码等申诉，因为他的资料准确性很高，所以只要弄，基本上都能获得密码。

是不是细思极恐……

最最关键的是：这些拥有社工库的人数据都存放在国外的服务器上，在国内是无服务器、无备份、无纸化、无U盘，就算警察查水表，也并没有什么卵用，甚至说，实名举报，都无法获得有力的证据。

社工库离我们有多近？

拿我们每天都使用的腾讯举例吧。
我们知道的腾讯公司的产品以即时通讯IM起家，那么已知的有名的人物QQ如下：

马化腾 QQ:10001 腾讯总裁CEO
张志东 QQ:10002 技术总监CTO
曾李青 QQ:10003 高级执行副总裁

由于QQ群的数据库已于2013年底被脱裤，QQ群的社工库里面收录了2013年以前的所有群成员、QQ号、QQ昵称、QQ群关系的数据。

所以呢，我们试着查询一下CEO马化腾的QQ群信息：

没错，我们可以清晰地看到，马化腾截止到2013年年底，参与或拥有过的QQ关系群，而且能从群数据里准确地看到其他群成员的QQ号和昵称资料。

社工库里连马化腾的密码都收录了，你以为你的密码有多安全吗？？

这次事件的主角

没多久，网易又再次被爆出了数据库，这已经不是网易第一次被爆了，163邮箱，126邮箱接连被破。

大家肯定有使用过苹果手机的，有人使用了163邮箱作为apple id的注册邮箱。本以为有了牛X的苹果id保护，可以使自己的手机能最大限度地处于自己掌控，但是却没有想到自己的163邮箱却掌握在别人的手中。于是产生了这样的一个行业，他们远程锁定你的iPhone，让你添加QQ多少多少来解锁。这样的事情不在少数。

也有人使用163邮箱来绑定支付宝，绑定微博，绑定淘宝，一旦黑客拿到你的163邮箱，接下来会发生什么，你很难预料到。

图为笔者随意抽取的一条数据，你的微博，百度，淘宝账号还真的属于你自己么？

对于这次数据库的新旧程度也有了证明：

第二个主角就是集合了全国广大学生数据的-学信网。

每当考研季开始的时候，就会有很多考生收到一些垃圾短信，推销答案的，推销资料的等等。你们有没有想过这些骗子是如何精准的联系到你，向你推向相关的产品？
恐怕一部分来源是学校的数据信息系统，更大一部分是来源于学信网。在这个网站你可以查询到学生整个教育历程，学籍信息，身份信息。有了这些，黑客可以做什么？

恐怕玩法很多了吧。

尾巴

写到这里，只是为大家科普一下，这是个裸奔的时代，11年泄露的库都有几亿了，当当网泄露的邮箱，姓名，住址，电话简直让人细思恐极。在这个混乱的互联网我们应该如何保护自己的数据安全，切忌一个密码通吃这样的事情发生。这样才能在数据库频繁被拖库的时候，把自己的损失降到最低。

备注：
[1] QQ群关系查询链接： https://qqgroup.insight-labs.org/
[2] 网易52G数据库查询链接：https://163password.download/

请合理使用以上链接
完整数据（网易+学信网）已经发布
仅供测试