今早,Telegram群组里有消息传出,可以查询指定微信号绑定的手机号信息,圈小蛙从泄露的样本数据分析,可以确认微信的绑定手机号信息已经泄露,但应不是脱库,而是通过接口批量爬取的。
中午,某Telegram频道分享出一个样本文件:909条样本.xlsx,下午,另一个Telegram频道分享出一个新的样本文件:微信绑定一万条样本示范.txt。从这两批样本数据可以看出,泄露数据包含两个字段,一个是wxid,另一个是手机号。
晚上,又有某个频道发出样本数据,该样本数据除了wxid与手机号外,还有昵称、性别、签名、头像URL地址、所在省市等信息。
根据某频道里的信息,泄露的数据量为10.57亿,数据截止日期是2023年3月29日,而当天,腾讯服务出现大面积的故障,推测是黑产团队用了大量的服务器集群跑这个微信绑定信息导致的。
根据频道里的信息:脱库者大概是使用程序在类似找回密码显示前3后2的渠道用原始wxid穷举API获取绑定手机号。原始wxid可以理解为微信账户的基础ID,后面用户修改的微信号只是附加ID,微信后台依靠这两个ID辨认用户。在双方互为好友时可以通过模块/抓包等方式获取对方原始wxid用以数据查询。但是即使在双方不是好友关系时,依然可以用某种方式靠微信号得出原始wxid。
据频道验证,泄露数据不仅有微信的,也包括国际版Wechat的绑定数据,也就是境外手机号一样能查出来。目前某查询机器人号称可以免费查询,但是目前查询不到信息,仅能通过一些代理进行人工付费查询。目前Telegram上的微反查询代理已经泛滥了,多个Telegram群组、频道、机器人都号称可以查询V反,并打出广告“微信查现绑手机号快点来找我报单腾讯泄漏的手机号漏洞”,其中部分收费1U查2个。
对于普通用户,建议修改微信的绑定手机号或者注销微信账户,重新注册。但如果漏洞还存在的话,也就无济于事了。
某频道对泄露事件的猜测
关于此次wxid->phone 的泄漏,个人想提的问题主要是wxid 性质的方面。
目前有证实的传言简而言之:有可出wxid->phone 即时绑定的api 接口。
wxid 是小写英文和数字组成的长度14 的独一id,若没有phone->wxid 接口,那么穷举36^14 的数量级是不现实的。这种情况下, wxid-phone 无法被做成database 形式,只要api 缺陷被堵,事件就完全告终。没成db 一般不会贱卖查询,但目前显然是已经有在贱卖的了。
那么理应也会有phone->wxid 反向的方法并有拖出db。但若产生了db 形式,那就盈利而言,拍卖通常优先于提供查询(收益高,参考上海公安等),而拍卖必然会有其规模大小的公开。
想象若phone->wxid 的api 不存在,那么产生db 的前提是搜集足够多的wxid。什么样的渠道可以获取到数亿wxid 呢?是有很多的,可以自行想象一下。
phone->wxid 之api 的存在性我不做过多猜测,但我个人暂时倾向于认为:db 尚未成型、api 与某些中国官方机构有关、普通用户可考虑改绑至非+86 手机号、EU/US 会开罚。
某频道提供的Q&A
Q: 为什么样本数据量只有这么点?
A: 因为这是我在免费送V反的群提交wxid后获取的回单文件,当时那群里人不多,所以给出的数据量就这么点。Q: 为什么你的手机号刚刚好会在里面?
A: 如上条QA所说,这是用户各自报单汇总的数据样本,并不是从数据库中随机提取的随机样本,所以我报的手机号会在里面。Q: 那个公众号的文章是怎么回事?
A: 根据我的消息得知,这个接口在2023.03.29就已经被修复了,那么如何在2023.04.10进行实时查询呢?看起来像是烂炒。
提一嘴,当天腾讯系服务出现大面积故障,笔者不对这两件事件的关联性作出保证,请自行推断关系。Q: 我可以找你帮忙查询数据吗?
A: 我只是知道些许消息的爆料者,也不是脱库者/下级代理,与脱库事件参与者并无联系,更没有参与脱库事件,劳烦另寻他人。Q: 所以我该如何验证真伪?
A: 我手上并无捶死的证据。
这边建议:①自行用数据样本里的手机号搜索用户后获取wxid对比 ②找源头/代理报自己的微信号查询 ③ 等待脱库者亲自放出官方随机样本Q: “首先从截图上来看,此信息发布者与泄露者在北京时间2月19日晚间11点左右进行交流,并且泄露者开发了一个bot供人们查询,且有意出售数据,但截至目前为止,机器人没有产生大规模的泛滥,数据出售的信息也未出现,但是泄露者的意图就是想要出售数据。”
A: 不清楚你是如何得出这个时间的,这条消息其实是在北京时间4月9日晚间11点发出;阅读群内消息可知,开发bot的是下级代理,并非脱库者;出售数据库的是脱库者,但是暂时仅限熟人交易。正如我在爆料消息结尾所提到的,请多加注意。