1984 推特网络安全 Twitter

【重磅石锤】推特上大量中文用户被查水表的原因正式被找到

此文作为以下两篇内容的补充：
Twitter 上大量中文用户被查水表的原因貌似被找到（其实那篇文章是我写的，当时开了匿名）
最近有很多推特用户被查水表了，国保是如何找到他们的？

原文链接在此：
https://www.zdnet.com/article/twitter-says-an-attacker-used-its-api-to-match-usernames-to-phone-numbers/
https://privacy.twitter.com/en/blog/2020/an-incident-impacting-your-account-identity

重磅石锤！推特有个API，可以通过绑定的手机号查推特帐号，于是有人注册帐号（中国政府可能性极存），通过导入联系人号码的方式查推特帐号，然后抓人，，，
手机号怎么拿到的：中国政府控制着国内三大运营商，肯定能监听从推特发过来的短信，然后导入联系人查推特帐号就行了。就算是你，知道别人电话号码也可以做到，，，

如何防止此类攻击：
进入推特设置，“联系人”，把“通过手机号码找到你”和“通过电子邮件找到你”两个勾都去了，就可以不受这种方式攻击，有推特帐号的，请立即去设置，，，

如何上推特不被中国政府抓：

先把上述的两个勾去了，否则你就算使用虚拟号码，如果你号码暴露了一样抓人
不要使用+86（中国大陆）的手机号码绑定推特，可以在海外购买一次性号码，或者使用虚拟号码绑定推特
不要发国内定位
政治帐号和生活帐号要分开，涉政帐号不要发暴露身份的文字、图片、视频等等

其他网站注意事项：
不少网站都有“通过手机号码找到你”和“通过电子邮件找到你”这两个选项，建议查设置然后关掉。本来在国外，这个功能很方便，可以和自己的联系人互动，但是在中国，这个功能很危险，建议马上关闭，，，

推特混入了间谍？
之前有个自称国安的人爆料，像这些科技公司，收买线人即可，不需要专门安插间谍，，，
但是你可以假定，所有的科技公司都是不可信任的，以此标准做好匿名工作，，，

最后补充一下，中国政府如何利用推特抓人：

钓鱼VPN：看你上了哪些网站，不过很多网站都有HTTPS，所以基本看不到你在具体的网站上干什么，所以基本没什么用，，，但是如果你挂VPN上网的话，弹出证书错误之类的对话框，而且不是局限在某个网站，那就要小心了，这VPN就是钓鱼的，HTTPS之类的东西也无法保护你，你挂VPN上的一切网站，干了什么事，都看得到了，，，
密码找回：选择手机号，以前可以看到国家代码和末尾4位数（然后中国政府查一查有没有符合条件的号码收过推特的短信），现在改成看不到国家代码，末尾只有2位了，，，
导入联系人：就是这篇文章所提到的方法，这里不再赘述，，，
发动小粉红和网军举报：这个没法用来直接抓人，但是你的帐号被举报为垃圾帐号，需要手机号码证明清白的时候，如果你使用中国大陆的手机号，就上当了，，，
自曝个人信息：在涉政帐号里发定位的，一查一个准。如果是图片、视频，有可能下载后查看里面的EXIF数据（推特有可能已经帮你去除了EXIF，但是我不确定），或者根据已知信息排查抓人，，，
被别人举报：你推特身份关联了现实身份，而且你得罪了别人，就有可能被举报，，，或者是反贼被小粉红举报，，，
钓鱼邮件：如果中国政府知道你的邮箱，就可以往邮箱里面发钓鱼链接，骗你输入推特的帐号密码，然后就中招了（卧槽，我币圈人其实也收到过，，，）
分享用自己国内的帐号生成的链接：自己的网盘、视频链接，因为关联自己的身份，不要用涉政帐号分享，，，
【更新】用国区Apple ID的苹果设备登录推特：感谢推友【Sapphire 蓝宝石酱】https://pincong.rocks/article/25380

分享 2020-02-06

56 个评论

你喒啊提厄

嘿阔真是鬼才，如此操作手段与品葱早期某大手子通过邀请机制破解匿名如出一辙，，，有这脑子，进币圈发财即可，何必为极权卖命，，，

何方刁民状告本官

早就知道推特不安全，所以我特么从来不敢在推特上骂老共。

adt

很對。還有二次驗證碼，就是在輸入網站密碼之後往手機短信上發驗證碼那個功能，如果在中國大陸使用，等於實錘自己就是那個賬號的主人。

币圈奇葩8964 回复何方刁民状告本官

早就知道推特不安全，所以我特么从来不敢在推特上骂老共。

其实是可以的，骂共产党的人多了，但是务必做好匿名工作，，，

penima

但之前有日本手机号注册依然被找到的原因有没有人分析过

币圈奇葩8964 回复你喒啊提厄

嘿阔真是鬼才，如此操作手段与品葱早期某大手子通过邀请机制破解匿名如出一辙，，，有这脑子，进币圈发财即...

什么鬼才，我币圈人早就知道了，十万甚至九万年前就去掉了这两个勾，，，
看来跟我之前猜的八九不离十，要么是利用帐号找回，要么利用导入联系人的方式找手机号然后抓人，，，
我只是很惊讶这么多人没发现这个设置，，，

币圈奇葩8964 回复 penima

但之前有日本手机号注册依然被找到的原因有没有人分析过

说漏嘴了吧，或者有熟人举报，，，

币圈奇葩8964 回复何方刁民状告本官

早就知道推特不安全，所以我特么从来不敢在推特上骂老共。

其他网站也要注意，“不少网站都有“通过手机号码找到你”和“通过电子邮件找到你”这两个选项，建议查设置然后关掉。”

Ligur

这么说不是twitter故意和共匪勾结了？

币圈奇葩8964 回复 Ligur

这么说不是twitter故意和共匪勾结了？

拜托仔细看文章，，，

你喒啊提厄回复币圈奇葩8964

我只是很惊讶这么多人没发现这个设置...

114.514%的社交网站用户注册时还不看许可协议呢，，，

币圈奇葩8964 回复 Ligur

这么说不是twitter故意和共匪勾结了？

这么跟你说吧：不需要，但不排除有可能。
共匪更有可能诱骗不知情的小白做事，就像派人支持孟晚舟那样，不会直接说支持孟晚舟，会骗人说当群众演员，然后给钱，不知情的人当然从了，，，
这不是安插间谍，但是比安插间谍更危险，更难防，因为通过社会工程学，人人都被培养成间谍，，，

币圈奇葩8964 回复你喒啊提厄

114.514%的社交网站用户注册时还不看许可协议呢，，，

太长了啊，谁有耐心看完，，，

FloodEra

大部分被🍵喝茶的推友根本没有用上什么高级技术手段，都是最简单的手机号查找。但很可惜很多人并没有做这个安全设置，直接用86手机注册，默认打开手机号查找，有的甚至公开墙内的个人账户。基本上就是完全裸奔的状态。

币圈奇葩8964 回复 FloodEra

大部分被🍵喝茶的推友根本没有用上什么高级技术手段，都是最简单的手机号查找。但很可惜很多人并没有做这...

是啊，最烦那些动不动“共产党无所不能”“推特和共匪同流合污”的人了，毕竟我币圈人认识体制内人士，共产党什么德性，执行力如何，都是很清楚的，，，
不过，有少数非常敏感的推友，共产党应该会使用高级一点的手段，，，

Jupiter

我直接不綁定手機

币圈奇葩8964 回复 Jupiter

我直接不綁定手機

不绑定手机的话，上倒是可以上，但是容易被举报垃圾帐号，然后推特会强制要求你绑定手机，，，
本来一个反垃圾的机制，被共匪这么利用，我币圈人无话可说，，，

BellBird

这不是很久以前就知道了吗？就像有些youtuber的认证信会被拆封过。
说真的也是推特隐私做不到位，要不反馈看看

币圈奇葩8964 回复 BellBird

这不是很久以前就知道了吗？就像有些youtuber的认证信会被拆封过。说真的也是推特隐私做不到位，...

推特隐私确实不到位，但是这篇文章重点不是骂推特这个公司，而是提醒大家注意【导入联系人】方式查人不仅局限于推特，很多网站都有这个功能，，，
电子前线基金会（EFF）也批评了推特，链接在此：
https://www.eff.org/deeplinks/2020/02/how-twitters-default-settings-can-leak-your-phone-number

HenkGao

最靠谱还是死记硬背密码
要验证也要海外手机+海外移动网络
最好是直接用验证器

币圈奇葩8964 回复 HenkGao

最靠谱还是死记硬背密码要验证也要海外手机+海外移动网络最好是直接用验证器

最好是直接买个Yubikey，硬件验证，帐号没法入侵，，，
密码的话，反而没有那么重要，，，当然，一定的强度是需要的，，，

HenkGao 回复币圈奇葩8964

最好是直接买个Yubikey，硬件验证，帐号没法入侵，，，密码的话，反而没有那么重要，，，当然，一定...

Yubikey当然给力。但这都得网站服务商支持才行。
据说早期twitter只能手机号认证，现在不知道怎么样。

币圈奇葩8964 回复 HenkGao

Yubikey当然给力。但这都得网站服务商支持才行。据说早期twitter只能手机号认证，现在不知道...

现在可以使用验证器，也可以使用Yubikey，，，

HenkGao 回复币圈奇葩8964

现在可以使用验证器，也可以使用Yubikey，，，

文章我补充一点，twitter上还不能发任何国内网站生成的链接，比如百度网盘分享链接、淘宝东西分享链接。这些链接能追踪到实名制账号，暴露本人身份。有个老兄就是这样被判了1年半徒刑。

币圈奇葩8964 回复 HenkGao

文章我补充一点，twitter上还不能发任何国内网站生成的链接，比如百度网盘分享链接、淘宝东西分享链...

感谢，已加，，，

nonsugar

他们现在还有心情抓人?嫌死得不够快?我真是永远想不通这些蛆

币圈奇葩8964 回复 nonsugar

他们现在还有心情抓人?嫌死得不够快?我真是永远想不通这些蛆

抓人是18、19年的事，，，
现在才实锤，之前都是猜测，，，

咸鱼老李回复币圈奇葩8964

密码器/加密狗是个好东西，有机会了我也会入手一个yubikey来保护我设备的数据安全，可惜墙内某些人却极力反对验证器/密码器，鼓吹全盘短信验证码（目前大部分墙内银行都是鼓励你用短信验证码，阻挠你申请银行提供的动态密码器或者加密狗），甚至还黑国外银行用动态密码器是过时的玩意，看来他们是真的愿意把财产安全交给电信运营商啊

~~四邑漁農牧工商總會~~ ^观察

從來不玩twitter，估計要不是Donald Trump，也沒那麼多大中華區的人玩twitter

币圈奇葩8964 回复咸鱼老李

密码器/加密狗是个好东西，有机会了我也会入手一个yubikey来保护我设备的数据安全，可惜墙内某些人...

短信验证才是过时的玩意，，，
那个2016年把比特币放交易所被盗人真想一刀砍死【墙内某些人】，他几万块的币被人家SIM swapping 盗走了，，，
还有个人更惨，2400万刀的币被盗，，，
https://markets.businessinsider.com/currencies/news/bitcoin-investor-loses-24-million-of-crypto-sim-swap-hackers-2019-11-1028677818?op=1

咸鱼老李回复币圈奇葩8964

国内也有大量伪基站盗刷银行卡的事情发生，甚至也出现了sim swapping的事情，不过手法十分低级，是通过运营商在线挂失补卡的漏洞进行的（具体事件google上可以查到，我很好奇那些墙内运营商是怎么搞的，挂失补卡这种高危操作还允许在线申请，线下操作都防不住某些存心想搞事情的内鬼更别提风险更高的线上操作了），我也是服了那群墙内的人是怎么想的了，对运营商这么信任？看来是没被运营商坑够啊。反正我是信不过那些国内运营商，我对它们没啥好感，不到工信部去jvbao他们都算好的了。

币圈奇葩8964 回复咸鱼老李

国内也有大量伪基站盗刷银行卡的事情发生，甚至也出现了sim swapping的事情，不过手法十分低级...

对，大清国特色伪基站，挂失补卡，可见这些骇客这方面灵活得很，，，

币圈奇葩8964 回复咸鱼老李

密码器/加密狗是个好东西，有机会了我也会入手一个yubikey来保护我设备的数据安全，可惜墙内某些人...

国内可以买yubikey？海淘？

咸鱼老李回复币圈奇葩8964

可笑的是今天这些手段甚至还可以继续使用，我很佩服国内某些运营商的办事效率，甚至之前被那些小学生们玩烂的免流漏洞至今仍可继续大摇大摆的使用，也没见哪个运营商跑出来追责，放在国外这都是没法想象的，要知道上世纪美国那几个靠电话交换机漏洞盗打电话的骇客最后还是被关进监狱了，那些搞免流漏洞的小学生的下场要放在海外不会比这个太好。

咸鱼老李回复币圈奇葩8964

理论上应该可以从香港转运，但是大清特色海关会不会截走你的包裹就另说了（大不了报关的时候报成U盘，反正那群海关的人应该也不认识），实在不行就只能去香港人肉带回了，那边应该有卖的。

币圈奇葩8964 回复咸鱼老李

可笑的是今天这些手段甚至还可以继续使用，我很佩服国内某些运营商的办事效率，甚至之前被那些小学生们玩烂...

免流？没玩过，听说过，貌似是利用运营商某某端口不计流量的漏洞，自己搭服务器玩免流。搭个服务器对我币圈人来说真是小意思（租个VPS就行）但是我实在不屑于玩这个，，，

币圈奇葩8964 回复咸鱼老李

理论上应该可以从香港转运，但是大清特色海关会不会截走你的包裹就另说了（大不了报关的时候报成U盘，反正...

草，，，报成U盘怕会不会查有反共内容，，，

咸鱼老李回复币圈奇葩8964

其实就是利用某些代理工具的流量混淆功能将正常流量伪装成定向流量从而欺骗运营商的计费系统，和上世纪美国骇客利用电话交换机漏洞盗打电话在本质上没啥区别，这玩意基本上没啥难度，除了能骗小学生钱外也没啥意思，毕竟一般人也用不了那么多流量，正常的流量套餐足够了，更何况还有流量单价特别便宜还不需要实名或者可以实名随便糊弄过去的物联卡。

咸鱼老李回复币圈奇葩8964

一般不会查包装好的存储器，我认识不少羊毛党海淘包装好的新硬盘海关基本上不会拆封，一般盘内S.M.A.R.T数据通电时间会在一小时之内或者干脆直接为零，目前确定会检查内容的只有图书类和光碟（实际上执行的时候光碟也不会开封读盘，我见过不少人海淘回来的动画碟也没有进行开封读盘），而图书类基本上海关那群家伙一般会参考白名单然后做简单检查（看有没有使用和涂画的痕迹，有就会做细致检查，不合格就拦截）