Twitter 上大量中文用户被查水表的原因貌似被找到
https://help.twitter.com/en/support-form
Twitter 官方
https://www.solidot.org/story?sid=58986
Solidot(国内网站警告,不要直接点链接,请复制粘贴)
大概原因是 Twitter 的支持表单有 bug,导致用户手机号码的国家代码以及是否被 Twitter 锁定的状态被泄露。
后面还提了有大量来自天朝和沙特的 IP 地址通过 API 查询,而且可能受政府支持。
猜一下可能的泄露步骤:
Twitter 官方
https://www.solidot.org/story?sid=58986
Solidot(国内网站警告,不要直接点链接,请复制粘贴)
大概原因是 Twitter 的支持表单有 bug,导致用户手机号码的国家代码以及是否被 Twitter 锁定的状态被泄露。
后面还提了有大量来自天朝和沙特的 IP 地址通过 API 查询,而且可能受政府支持。
猜一下可能的泄露步骤:
- 官方翻墙看推(用 bot 即可),发现有政治敏感推后
- 通过支持表单的 API 查看手机号前缀,如果是 +86(中国大陆)就做个标记,过滤掉其他的人(如有用非 +86 手机号绑定 Twitter 还被抓的情况请告知)
- 推主多半会泄露其他信息(定位、照片等),根据这个抓人
40 个评论
在推特上,每次看到有人被喝茶的信息,我都会试着看看是怎么被发现的。其实没有那么玄乎,估计就是那个所谓的”舆情监控系统“自动捕捉的。
我看到的绝大多数都是发了一张自己的自拍,那就直接被发现了。甚至有人到了18年后期仍然在发自拍,唉。
略微复杂一点的一例,他强调自己”没有发布任何个人信息“但仍然被喝茶了。去翻他的推,发现了一张打了码的、他老婆的、微信朋友圈首页。图片上有手机号码的后几位——我认为这很关键。有了图片的一部分和手机号码的一部分,应该可以实现定位。挺玄乎的,但plausible,那套系统应该功能非常强大。
另外还记得有一例,推主也没有直接发个人信息,但是推的bio里有这一系列:单身、XX大学XX专业XX年毕业、老家XX、工作城市XX、X色XX款车等等之类。这个通过不断缩小范围,也能够被定位到。
总而言之,从我个人见过的被喝茶的实例,100%是自爆。这也是斯诺等说的,对信息安全的最大威胁是用户的operational security。
但,不是要求手机号就OK,其实网络寡头公司要的就是个人实名信息,这样它能打广告,"the user is the product",于是变相成了中共的帮凶。我也看到经常有人发推,说自己的账户被黑,很可能就是中共的黑客在试图访问账户信息,或者即导致账户冻结,触发短信激活。所以另一个角度说,中文异议平台建立在推特上,本身就感觉有问题。
我看到的绝大多数都是发了一张自己的自拍,那就直接被发现了。甚至有人到了18年后期仍然在发自拍,唉。
略微复杂一点的一例,他强调自己”没有发布任何个人信息“但仍然被喝茶了。去翻他的推,发现了一张打了码的、他老婆的、微信朋友圈首页。图片上有手机号码的后几位——我认为这很关键。有了图片的一部分和手机号码的一部分,应该可以实现定位。挺玄乎的,但plausible,那套系统应该功能非常强大。
另外还记得有一例,推主也没有直接发个人信息,但是推的bio里有这一系列:单身、XX大学XX专业XX年毕业、老家XX、工作城市XX、X色XX款车等等之类。这个通过不断缩小范围,也能够被定位到。
总而言之,从我个人见过的被喝茶的实例,100%是自爆。这也是斯诺等说的,对信息安全的最大威胁是用户的operational security。
但,不是要求手机号就OK,其实网络寡头公司要的就是个人实名信息,这样它能打广告,"the user is the product",于是变相成了中共的帮凶。我也看到经常有人发推,说自己的账户被黑,很可能就是中共的黑客在试图访问账户信息,或者即导致账户冻结,触发短信激活。所以另一个角度说,中文异议平台建立在推特上,本身就感觉有问题。