01 漏洞标题 某信息平台敏感信息泄露 02 漏洞类型 信息泄露 03 漏洞等级 高危 04 漏洞地址 http://www.xxxxx.org.cn/ 05 漏洞详情 信息平台敏感信息泄露，可以直接获取所有高级专家的所有手机号。 专家库具体某一专家信息查看，可以在URL处直接看到手机号。 0x01 访问 http://www.xxxx.org.cn/ExpertView.aspx?id=3&username=13926041501 0x02 批量可以看到每条信息都携带了用户的详细手机号信息。 http://www.xxxx.org.cn/ExpertsList.aspx 涉及到的专家信息共有700多条信息，包含完整的姓名和手机号。 06 漏洞危害 此处可以批量获取到的专家信息共有700多条信息，包含完整的姓名和手机号工作地点，被攻击者获取后可以定点钓鱼等，存在极大的安全风险。 07 建议措施 敏感信息做脱敏处理，不反回手机号等敏感信息。 PS：本文仅用于技术讨论与分析，严禁用于任何非法用途，违者后果自负。 ...

最近在暗网监测到有人在卖华住的数据库，出售者说数据是当年的一手数据，只卖过一个人，并且还附上了测试数据链接。 如果数据真实，极有可能是2018年8月份的那次，当时的数据囊括华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等。 这次数据表示全部资料共53G，1.23亿左右条记录。如果这份数据属实，并且被购买传播出去，又是一场风波了。下载地址是有的，但是不方便公布，请多包含啦！...

先看看我的"战绩"一）信息泄露漏洞的定义： 敏感数据包括但不限于：口令、密钥、证书、会话标识、License、隐私数据（如短消息的内容）、授权凭据、个人数据（如姓名、住址、电话等）等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。 高校的信息泄露漏洞，是普遍存在的，而且比较严重，我接触到，低危的是身份证泄露，手机号泄露；高危的有密级是秘密的，管理员账号密码的。 我个人猜测漏洞存在的原因： 一般老师互传是有渠道的，老师与学生互传才没有渠道，因此需要借助站点，例如发公众号，推文。 为什么不用内网？因为大多数人用手机看。 二）如何操作？ 1.使用Google Hacking Google Hacking语法是个神器，我把他比喻成一把神剑，能斩到什么，就看你怎么用。 site:edu.cn 搜索所有主域名是edu.cn的链接 filetype:xls 搜索所有文件后缀是xls的链接 懂了一些没有？你还可以给他添加你想要的条件 site:edu.cn filetype:xls 手机号 （三个条件：搜索所有主域名是edu.cn的链接，并且文件后缀是xls的，也就是xls文件，并且搜索xls文件内容带有手机号的链接。） 我已经把思路教给你们了，至于怎么深入利用，还得自己移驾到百度搜索：Google Hacking语法 如果有看不懂这盘文章的，请你逐字逐句把第二步慢慢读一遍。 三）闻道 道阻且长，没有特殊的机缘，知道也只是知道，许多人到死都不会明白一切是怎么回事。 声明： 作者的初衷是分享与普及网络安全知识，若读者因此做出任何违法行为，后果自负，与原作者无关。 ...

公民个人信息泄露事件已屡见不鲜，近日，演员王一博称自己的个人信息被泄露，遭到疯狂骚扰，此类话题再次引发关注。 购买明星私人信息除了能够满足粉丝的猎奇心理外，粉丝可以根据这些信息掌握明星的行程，甚至可以订到与偶像邻座的机票，入住偶像所下榻的酒店以达到追星的目的，因此粉丝经济也助推了贩卖明星信息的非法产业链。对此律师表示，这种行为已经涉嫌触犯刑律中有关侵犯公民个人信息罪的内容。 近日，演员王一博发微博称自己电话号码被泄露，遭到粉丝疯狂骚扰，并贴出电话来电记录，引发公众关注。 ▲网上售卖的某明星个人信息。网络截图 实际上，明星艺人信息泄露已经不是第一次。记者调查发现，明星的各种个人信息在微博、微信、闲鱼等渠道被明码标价公开售卖，这些信息价格低廉，从几块钱到100元不等，500元能够打包购买上百位明星的信息。 广东中安律师事务所合伙人潘翔律师表示，粉丝经济助推了贩卖明星信息的非法产业链，“黄牛”违法售卖明星信息涉嫌侵犯公民个人信息罪。 ━━━━━ 艺人遭遇电话轰炸 8月3日晚上10时许，演员王一博发布微博称，因自己手机号被泄露，自己的生活受到了严重影响，呼吁粉丝不要再去打他的电话。 记者从王一博发布的截图中注意到，从8点09分到8点15分，6分钟内有4个电话进来。另一张截图显示，王一博的未接电话有194个。“别再打我电话了，也别再去买我的号码了”。王一博在微博中说。 微博一经发出迅速引发公众注意。截至8月4日晚间，该微博已经被累计评论36万。网友们纷纷留言表示心疼艺人，呼吁抵制干扰艺人正常生活的行为。同时也有不少网友发问，“明星的信息真的能买到吗？” 在微博输入“明星姓名+具体信息”的方式搜索，很容易就寻找到刷屏招揽生意的“黄牛”。 为了规避风险，这些黄牛大多选择微信交易。“微博只是用来引流的”。其中一位“黄牛”说。 资深追星族小颖（化名）告诉记者，明星信息的买卖在粉丝圈内早已是公开的秘密，而且成本并不高，“如果你想对爱豆（偶像）接送机，那就买他的航班号或者身份证号一查就知道。但是一般不会直接给爱豆（偶像）打电话，这种做法太激进了。” 记者调查发现，售卖明星信息的“黄牛”无孔不入，从航班、酒店、通告到音乐游戏账号、手机号、身份证号乃至户籍，明星信息被明码标价出售。这些信息价格低廉，从几块钱到100元不等，500元能够打包购买上百位明星信息。 ▲根据“黄牛”提供的明星信息，记者查询到了该明星预订的航班行程。网络截图 ━━━━━ 明星身份证信息可打包出售 除了微博，在闲鱼上也有不少售卖明星信息的“黄牛”。他们打着“相遇 相思 相见”的噱头，滚动发布着多位明星的航班动态、手机号、微信等信息。 所有的信息均以缩写代指，如sfz（身份证）、hb（航班）、sjh（手机号）、hj（户籍），一位“黄牛”告诉记者这样主要是为了规避风险，防止被平台封号。 记者随机咨询三位“黄牛”后发现，明星的身份证的价格从几元到几十元不等。记者随机询问了多名当红明星的身份证信息，黄牛表示打包售价100元。“500元买到上百位明星的身份证号”。 “买身份证号其实是为了获得航班信息。粉丝可以在机场查询系统直接搜到明星的乘坐的航班、起飞时间等信息，如果明星已经值机，还可以拿到他的座位号。这样你不仅可以送机，还可以买与明星相邻的座位。”小颖说。她曾经用这个办法购买了不少艺人的身份信息，并成功跟自己的偶像“肩并肩”地坐到了一起。 为了进一步核实出售明星信息的真实性，记者先后查询了王源、易烊千玺、王俊凯三位艺人的身份证信息。随后在机场值机平台输入后，果然查到了其中两位有行程安排的航班信息。 一位“黄牛”告诉记者，如果直接购买明星的航班信息每次只需要10元。 除了“黄牛”，在明星信息地下售卖链条中，还有一个名为“敲机子”的特殊群体。“如果你来不及去机场就可以找他们代为查询，然后发给你，每次只需要5块钱。”小颖说。 ▲“黄牛”向记者提供的明星信息。网络截图 ━━━━━ 明星手机号码30元一条 可售卖的明星艺人个人信息“十分丰富”，除了手机号、身份证号之外，明星游戏账号、户籍、入住的酒店也是售卖的热门信息。 记者联系到的另一位“黄牛”称，其所售卖的艺人手机号均绑定了支付宝或者微信，真实可靠，30元一条。黄牛随后提供了一名艺人的电话号码，随后通过支付宝验证属实。 同时，该“黄牛”还售卖有朱一龙、罗云熙、王鹤隶等近10位艺人的手机号码、QQ号等。 微信上一位“黄牛”向记者介绍，除了手机号码，他手里还有部分艺人的游戏账号和户籍信息。随后对方发来了易烊千玺的王者荣耀账号和肖战的绝地求生账号。 在一位卖家的标价中，吴亦凡的户籍信息只需要50元。 对方给记者发来的户籍照片显示，照片右上方为吴亦凡的素颜证件照，这张照片不仅包括吴亦凡的原名、身份证号、籍贯、家庭地址、文化程度，还包括他婚姻状况和兵役状况。 “酒店信息也是大家买得比较多的。”上个月，小颖和朋友通过“黄牛”顺利地购买到了艺人周震南在长沙下榻的某家酒店信息，并提前赶到蹲守，最终在周震南进出酒店期间“偶遇”成功。 “这些黄牛卖的信息基本上都是真的，因为一旦卖过一次假的，就没人再来找你买了。”小颖说。 这些私人信息是哪里来的？一位“黄牛”告诉记者，自己也是从上家那里拿到的，且招收代理，“代理费100元，拿货很便宜”。 ━━━━━ 律师说法 提供明星信息涉嫌侵犯公民个人信息罪 公民个人信息泄露的事件已屡见不鲜，有关部门也对此加以严厉打击。根据新京报此前相关报道，公民个人细信息泄露有的是相关数据管理人员“监守自盗”，有的则是一些网络黑客通过各种“黑客手段”盗取数据。有的黑客或将数据发布在网站上“炫技”，有的则出售贩卖。这些数据来源则是一些个人信息搜集单位，涉及教育、医疗等各个方面。 广东中安律师事务所合伙人、深圳国际仲裁院仲裁员潘翔表示，明星的个人信息往往来源于机票销售代理、酒店等公共服务单位或者此类单位的网络运营平台，粉丝经济也助推了贩卖明星信息的非法产业链。明星艺人的身份信息、电话号码、家庭地址、家庭成员情况、航班出行信息等均属于法律保护的公民个人信息。 潘翔介绍，向他人出售或者提供明星个人信息，情节严重的，涉嫌《刑法》规定的侵犯公民个人信息罪，判处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 而根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上；提供前述信息以外的公民个人信息5000条以上，或违法所得5000元以上等情况，均属于“情节严重”范畴。 ...

也是无聊的时候无意间逛见的，进入主题。 看到可能会想怎么进去，我就去百度搜了一下教务管理系统用户名和密码是多少 百度告诉我的答案普遍是账号是学号密码也是学号或者密码是123456, 接下来知道了那么我们该怎么去获取学号呢。 1.百度武汉xxxx职业技术学院学号 如图 接下来去试试此学号有无有用。 上面百度收集到的信息说是密码可能是学号也可能是123456 或者是别的试一试吧 运气不错进来了。那么就看看有没有别的信息了 我在学籍卡片处看到往下滑的时候看到了身份证号！！！ 这已经涉及到信息泄露了。 接下来，我们在试试别的学号看能否进。 以此学号 推断一下 学号：1113033 7位数 试试1113034 能否进去 依旧可以用进 推断密码默认学号。学号是用递进的方式形成的， 我们看到了图上所示 院系：智能制造工程系 专业：包装技术与设计 学制：3.0 班级：11级包装技术与设计1班 我们看到了这些 再看学号（学号是1113034） 注意到什么没 11级 一班正好对应学号前面的111 那么把111修改成 1513001试试看呢。 成功 密码依旧是学号，那么就可以以此类推，但是我在这次进15级的这个学生我发现了，地址也有了， 就到这了吧。 此学校泄露信息。有姓名，身份证，地址。证件照。 ...

去年4月初，相城公安分局漕湖派出所警方接到市民茅先生举报，称他的个人信息被泄露。随后警方对此展开侦查，竟牵出一个特大个人信息泄露案。 茅先生说，2017年9月底他在微信上购买了一次保健品，同时给了店家自己的姓名、手机号和收货地址。可没想到后面发生的事让他烦恼不已。不分时段、连续不断的骚扰电话让茅先生的生活受到影响，于是他选择了报警。 相城公安分局漕湖派出所经过侦查，确认茅先生信息遭泄露。随后侦查员会同苏州市公安局网监支队、相城公安分局网监大队在杭州市萧山公安的协助下，于去年4月中旬将隐匿在杭州市萧山区宁围镇振宁路的刘某等嫌疑人当场抓捕归案。经过多次对刘某的审讯，他交代了其通过QQ、微信等网络聊天平台向他人购买50余万条公民个人信息后，进行销售，获利人民币2万多元。 顺藤摸瓜，相城公安9个派出所分赴安徽、南京、湖北等地区，抓获嫌疑人20多名。其中，黄埭派出所民警在湖北省汉川市将主要犯罪嫌疑人何某抓获。民警当场查获手机两部、笔记本电脑两台、u盘三个以及两张身份证、两张银行卡。民警在查获的u盘里发现了300余万条个人信息数据。 随着刘某、何某的到案，一条贩卖公民个人信息的地下交易链逐渐显现。何某是湖北汉川的一家纺织厂的操作工，本可以安守本分老老实实过日子，但就因为一次夜宵改变了命运的轨迹。一天晚上，何某在吃夜宵时，无意中听到旁边桌的人说贩卖个人信息可以赚钱。何某动起了脑筋，也想尝试赚些快钱，于是他四处打定贩卖个人信息的方法。 按照别人传授的"经验"，何某搜索关键词进入到一些qq群中。这些qq群仿佛一个巨大的"信息黑市"，在这里可以随意买卖个人信息。群里铺天盖地的信息让刚加入qq群的何某吃了一惊。在群里寻找需要求购信息的客户，加他们私聊，再通过其他qq群寻找卖家进行交易。何某不止通过qq群贩卖个人信息，其他渠道获得的信息，他一概照单全收。 在一次饭局，何某认识了谢某，谢某给了何某一个u盘，说里面有很多"资料"。何某坦言，所谓的"资料"也就是个人信息。回到家中，何某在u盘中看到了大量个人信息数据，涉及数据老年保健数据、男性壮阳数据、快递数据、淘宝数据等。之后，何某在qq群中寻找有这些信息需求的目标客户，变卖数据。目前，等待何某他们的将是法律的制裁。 警方提示：大家应提高个人信息保护意识。注册账户时，"节约"使用个人信息，如必须填写个人信息，尽可能少提供个人信息。在一些平台注册时要多留心眼，谨慎注册，不随意连接陌生wifi，对个人信息保护引起足够重视。对企业来说，要加强企业内部监管，提升员工保密意识，严格企业保密制度。 ...