本文讲的是
真实版“张交通”复盘:我如何怼出泄漏个人信息的元凶,
这是《网络安全法》生效后,个人用户的首个实用型技巧福利。
垃圾邮件由来
提起垃圾邮件,大家应该都很深恶痛绝。一个邮箱稍微用过一些时间,各种莫名其妙的广告营销邮件便不请自来。这些广告营销邮件里,很多服务你并没有使用过,但却在给你发广告。
它们发件的邮箱地址从何而来呢?这就要牵涉到国内个人信息保护的大环境了,企业由于安全能力不足导致信息被窃取,内部员工私下盗卖数据,甚至官方主动对外出售用户信息,类似情况大家已经屡见不鲜。
过去由于法律法规不够完善,即使用户发现信息被泄漏,对泄漏方也无可奈何。但随着警方对个人信息贩卖日趋严厉的打击和《网络安全法》开始施行,我们也有武器反击了。
实战如何找出泄漏元凶
怎么操作呢?下边介绍v2ex上一位网友(代号X)分享的案例。
X有个企业邮箱,和大家的公司邮箱一样,可以有一大堆邮箱名。ta在每个网站使用不同的邮箱名,比如百度就用zhangbaidu@x.com、腾讯就用zhangtenxun@qq.com(本文提及邮箱均为虚拟)。这样如果收到垃圾邮件,根据邮箱名就知道是谁家服务泄漏自己信息了。
某一天,X忽然收到一份交通银行的广告营销邮件,收件人叫suishouji@x.com。
suishouji@x.com这个邮箱,X只在记账工具随手记里用过,而X本人是个隐私洁癖者(不在网上四处留重要邮箱)。显而易见,ta更倾向于怀疑随手记,于是把内容整理成帖子发到了社区。
社区里随手记的人刚好也在,双方交换信息后,随手记便去找交行问了究竟。
一连串问询后,最后自称给交行做推广服务的合作公司出来道歉了。这家公司员工给X发道歉邮件,自称网上爬到X的随手记注册邮箱地址,并非随手记官方主动泄漏,现在已经清除;同时愿意给X 5千元赔偿费用,以了结此事。
最终结果如何,要看X、随手记、交行合作公司的三方沟通吧。我们主要谈的是这种保护个人信息的方式,可以很精准的抓出泄漏元凶,乃至进一步赔偿和追究法律责任,大家都看懂了吧?
那家到处抓个人信息的公司
上边提到,有家给交行做推广服务的公司出来担责,这家公司是个什么存在?三封道歉邮件里略有介绍。
这家推广公司在网络上到处采集个人信息(邮箱、电话等),号称“数据量庞大,来源众多”,会从百度搜索、贴吧、论坛、小电影网站、博彩网站、58同城等各种网页类型采集。
该公司使用的采集工具叫八爪鱼,是业内最知名的网页数据采集工具之一。只要设置好规则,整站数据便能轻轻松松到手,如果有相关漏洞,后台数据也没问题。
本次案例具体分析数据泄漏来源,随手记用户信息遍历漏洞、运营商系统中分析出用户信息都有可能。
比较可惜,整个事件中这家公司没有露出名字,否则恐怕是要吃不了兜着走。
也有网友质疑,只是有个自称某公司的人出来背锅,谁知道说的是真是假呢?
最后
关于企业邮箱使用,有个小技巧,来自X的分享:
在后台管理员界面那里设置,把所有错误的邮箱地址都转发到某个邮箱,即可实现随写随用,不需要每次都开通新的邮箱帐号实现反垃圾。
嘶吼建议,爱折腾的读者们可以先用起来,自己用好了带动朋友来用,先用带动后用,协力反击垃圾邮件。不仅能保护个人信息,还能怼到泄漏者,何乐而不为呢?
原文发布时间为:2017年6月12日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。