白夜周刊No 2

📝 一张照片能暴露我们多少信息?

EXIF

其实一个你不经意间拍摄的照片,能暴露出很多你的个人信息,比如拍照时的时间,手机型号,以及你的位置等等。这些信息就是EXIF,是在你拍摄照片时,隐藏在照片里的信息。当我们在微信\QQ发送拍摄的照片时,勾选上了发送原图,那这些藏在图片内的信息也就一并发送了。

右图就是一个例子,我们每拍摄一张照片,拍摄设备就会记录下拍摄信息,包括时间光圈快门感光度等,手机等设备还会记录当时的GPS信息。而且这些信息用一些小工具很轻易就能提取。

OSINT

公开来源情报(OSINT)是从公开来源收集到的情报。简单来说就是通过各种公开的信息资源中寻找和获取有价值的信息,网络迷踪系列节目就是一个应用例子。通过一张照片在全球范围内找到拍摄者的准确位置,这可不是科幻片。

有个网站叫Geoguessr,是一款网页地理位置猜测游戏。玩家需要通过随机提供的谷歌街景图在全球范围内找到该处位置,这需要玩家通过照片中太阳位置、树木种类、建筑风格、语言文字、车牌样式等等信息限定拍摄者所处的国家以及准确的经纬度。类似的,国内炒饭社区有很多通过图片挖掘其中信息的板块。

https://s11.ax1x.com/2024/01/18/pFkbeE9.png

这是两个炒饭社区的图片推理案例

  • 1.通过照片总结其中信息

    这张照片展现了一位身高约180cm的年轻男性,目前在一家中等规模的公司工作。他的工作内容与视频制作相关,因为电脑正在复制视频。照片中还展示了一个播映室或影音室,规模不大,可能是一所学校的影音科教室。电脑桌面上有QQ音乐、腾讯视频、谷歌浏览器、steam、WPS以及多个Adobe图像处理软件。照片包含一个口罩,加上冬装,可能是在23年春之前拍摄的。他喜欢摄影和旅游,特别喜欢高山、大海和风车。从桌上的游戏和游戏键盘来看,他工作似乎相对轻松,拥有较多的自由支配时间。

    https://i.chao-fan.com/biz/1681001298020_78505e995a8448cc8e60d8f2935a8fa3.jpg

  • 2.通过照片分析拍摄位置

    https://i.chao-fan.com/biz/1704696808603_3f95138824ba4e91b58ac631d84142a6.jpg

    分析过程:识图找到小红书一张拍摄于兰州中山桥的照片建筑与题中图片建筑一致,且结合题中图片出现的“夜游黄”,大概率是“夜游黄河”,兰州正好有黄河流经

    在通过百度街景就可以精确到在下图剪头所指的桥上拍摄的,拍摄位置是兰州北滨河中路,中山桥的东侧天桥上

    https://s11.ax1x.com/2024/01/16/pFFVzt0.png

🌐社交平台昵称头像高度一致?

说一个我曾经猎奇作恶的经历,我新加了个微信朋友,最后找到他家住址以及父母大致的职业。

我那个朋友朋友圈可见只有三天,不过通过微信昵称搜索微博账号,找到一个高度相似的账号,该帐号发过上百篇公开博文。其中包括一个寻狗启示,里面有两个手机号码,将手机号保存到通讯录再打开抖音可能认识的人里面分别找到两个抖音号。一个男性抖音好的喜欢列表大多是一个行业的信息;另一个女性的抖音号发布过参加活动的照片以及开车照片,还在评论区透露了老家和新家大致城市,通过评论人抖音号视频找到老家地址。顺着两个抖音号关注的共同好友找到我那朋友的抖音账号,以及他朋友的账号。用城市信息回到微博中找到一些生活照,其中包括小区样式,超市标签信息。以城市中该超市为中心,用百度街景很快就找到小区地址。查询小区开盘信息得知是20年开盘,还有更多线索挖掘。事后我也和那朋友说明了情况。

支持我此次猎奇经历的主要线索就是一致的昵称和寻狗启示号码。人肉信息整合能力就已经能这样了,跟何况现在已经有AI工具可以通过各个平台更细碎的线索探索我们的个人信息。

所以你如果在意个人信息,尽量留不同的昵称账号以及密码(密码涉及黑客撞库攻击,此处不再展开)

🤖信息存储平台靠得住吗?

学习通数据泄露事件被称为大学生的第一次数据泄露,改事件导致包括姓名、身份证、手机号、学校、学号等等信息,然而事实是我们的信息泄露远不是第一次了。

前几年快递面单上有我们购买的几乎所有信息,就此部分商家设计出隐私涂抹工具。这种工具功效嘛,不能说是毫无作用 也只能说是聊胜于无。等快递到我们手上了,我们能防的住的个人信息泄露只能是捡破烂的王大妈了。快递公司的内鬼防不胜防,入侵数据库,植入木马,这些方法不比拍快递面单来的高效的多?所以填写信息的时候多加注意啊,收件人写个齐天大圣快递员还得说声大圣好。

类似以上数据泄露事件几乎每年都在上演,国内外各大平台基本都发生过,不管平台大小数据还是非必要不提供为好。

还有些目前规章制度下,我们无能为力的信息泄露。比如公检法的内部员工“兼职” “开盒”。导致几百块钱就能买一家人的户口本。郑州红码事件从技术角度分析就是官员过度使用公民疫情健康数据

📱出售电子产品需注意

Blancco科技集团的报告指出,希望通过转卖旧存储驱动器赚钱的人可能成为网络犯罪受害者。调查发现,42%的二手驱动器上存在敏感数据,其中15%包含个人身份信息。尽管卖家声称进行了数据清理,但在每20个驱动器中至少有三个仍然包含个人身份信息。之前的类似调查也表明,超过78%的二手硬盘存在剩余数据,其中67%包含可以识别个人身份的信息。正确处理驱动器的最佳方式是由专业人士擦除和重写三次。

下图为出售安卓手机需要注意的地方,给各位做个参考。

https://s11.ax1x.com/2024/01/18/pFkbljO.png

以下为数字个人隐私的注意点

📎 总结

隐私保护的内容能说的太多了,草草结个尾吧。我总结一下生活中值得注意的几点

  • 心法:不要做坏事。不做坏事的话,也没那么多闲得蛋疼的人总结个人信息。
  • 收住爱炫耀的心
  • 各个平台的头像账号密码尽量不要太相似
  • 发送图片尤其注意文件中的EXIF和图像中藏着的信息
  • 各个平台并做到信息最少原则,并关闭不必要的“找到我”方式
  • 出售的二手电子产品最保险方法是存满脏数据再多次格式化
  • 尤其注意网盘账号安全以及网盘备份的数据