700元就可买到同事行踪？安全专家：属实！你不知道的还有这些

12月12日，南方都市报的一篇文章《》在朋友圈刷屏了，里面描述了一些恐怖的调查现象：几百块钱就可以买到某个人被泄露的全套个人信息，四大银行存款记录、手机实时定位、手机通话记录……都可以查到，甚至可以进行手机定位，“服务最到位”的是，还有第三方软件为这样的服务提供担保。

于是，在看到这篇文章后，编辑火速与白帽汇的安全研究人员联系，确认该文的一些事实，并知道了一些“了不得”的事情。

1.700块钱买到全套资料有可能吗？黑产是有统一的数据库吗？

白帽汇安全团队：是的，完全有可能。但是，黑产是否有统一的数据库，这个不确定，黑产为了做全套资料，不排除会到处搜集资料，整合成一个比较齐全的库。

。但是，一般会而言，黑产拿到数据库后会进行脱敏、加工，这样就很难找到泄露源头。 另一原因是，目前监管不得力，谁都敢做信息泄露这件事情，很多信息泄露的情况是——内部人员把数据拿出来卖。

白帽汇安全团队：我一点都不震惊。现在

我感觉也没什么更恐怖了，第一次看到信息泄露后会很震惊，第二次就会习以为常，而且有些公司之间还会进行数据交易和买卖。

还注意到，这篇报道提到“南都记者决定再换个同事的手机号码，查一下其手机定位情况，前述工作人员表示仅可查询联通号码的手机定位，查询时间为半小时，收费是600元。南都记者提供手机号码并付款半个多小时之后，对方发来了定位信息的图片，内含地图、经纬度信息(精确到小数点后六位)，与记者同事所在的位置完全一致。”

这是如何发生的？一位匿名人士提醒编辑：“你有没有注意到，工作人员表示仅可查询联通号码的手机定位，这意味着是否是其中一家电信运营商的接口被黑产利用了？值得探究。”

在该报道中，还提到了社工库。白帽汇安全团队帮助编辑找到了其中一个社工库的可用网址，如图所示：

编辑尝试了一把，输入自己的 QQ 号后，果然看到了曾经用过的密码信息。另外，这个社工库页面还显示，可以提供别的“高级搜索”，比如，开房信息，但需要汇款成为会员。

最后，比较悲剧的是，在编辑尝试了输入身份证号查询后，发现白帽汇的安全研究人员发来提醒——千万不要输入身份证号，不然这个社工库会进一步绑定你的查询信息，编辑知道后心情如图所示。