12月12日，南方都市报的一篇文章《恐怖！南都记者700米就买到同事行踪包括乘机开房上网吧等11项记录》在朋友圈刷屏了，里面描述了一些恐怖的调查现象：几百块钱就可以买到某个人被泄露的 *** 个人信息，四大银行存款记录、手机实时定位、手机通话记录……都可以查到，甚至可以进行手机定位，“服务最到位”的是，还有第三方软件为这样的服务提供担保。

雷锋网编辑不禁想到，两个月前，去安全企业白帽汇公司采访时，白帽汇安全研究人员告诉编辑：“你想不想查一下自己被泄露的信息？”编辑一惊，这都有？！该安全研究人员表示，是的，以他们长期潜伏黑灰产群的经验来看，很多社工库都可以查到个人被泄露的信息。

于是，在看到这篇文章后，编辑火速与白帽汇的安全研究人员联系，确认该文的一些事实，并知道了一些“了不得”的事情。

1.700块钱买到 *** 资料有可能吗？黑产是有统一的数据库吗？

白帽汇安全团队：是的，完全有可能。但是，黑产是否有统一的数据库，这个不确定，黑产为了做 *** 资料，不排除会到处搜集资料，整合成一个比较齐全的库；

2.住宿、航班、银行开户、网吧上网各种记录一应俱全，这是不是意味着泄露的源头就是酒店、订票网站……？

白帽汇安全团队：这倒不一定。比如，你可能从很多 *** 渠道订过车票，是谁泄露的，真不好说。就算拿到泄露的数据库资源，也很难溯源。除非把这个原始数据库留了下来，才能可能让被泄露的厂商确认，这是他的数据库。但是，一般会而言，黑产拿到数据库后会进行脱敏、加工，这样就很难找到泄露源头。另一原因是，目前监管不得力，谁都敢做信息泄露这件事情，很多信息泄露的情况是——内部人员把数据拿出来卖。

3.报道里提到：“一个名为“分布式查询”的文档里，记录了该同事自2011年4月以来的旅馆住宿记录、常住人口记录、暂住人口记录和网吧上网记录，另一个“人员基础信息—×××”文档中则是火车记录、航班记录、银行开户核查记录、驾驶证记录、驾驶证违章记录、机动车登记记录等。”看到这些，感觉很震惊，在信息泄露上还有什么更让人震惊的案例吗？

白帽汇安全团队：我一点都不震惊。现在市面上确实有这些信息卖，很容易做到。而且，个人信息泄露，一定是有的，信息泄露发生在你进入互联网的一瞬间，只要你在互联网上填写了个人信息，如曾经订过机票、填写过地址、 *** ……不要怀疑，一定会有。

我感觉也没什么更恐怖了，之一次看到信息泄露后会很震惊，第二次就会习以为常，而且有些公司之间还会进行数据交易和买卖。

雷锋网还注意到，这篇报道提到“南都记者决定再换个同事的手机号码，查一下其手机定位情况，前述工作人员表示仅可查询联通号码的手机定位，查询时间为半小时，收费是600米。南都记者提供手机号码并付款半个多小时之后，对方发来了定位信息的图片，内含地图、经纬度信息(精确到小数点后六位)，与记者同事所在的位置完全一致。”

这是如何发生的？一位匿名人士提醒编辑：“你有没有注意到，工作人员表示仅可查询联通号码的手机定位，这意味着是否是其中一家电信运营商的接口被黑产利用了？值得探究。”

在该报道中，还提到了社工库。白帽汇安全团队帮助编辑找到了其中一个社工库的可用网址，如图所示：

编辑尝试了一把，输入自己的 *** 号后，果然看到了曾经用过的密码信息。另外，这个社工库页面还显示，可以提供别的“高级搜索”，比如，开房信息，但需要汇款成为会员。

最后，比较悲剧的是，在编辑尝试了输入身份证号查询后，发现白帽汇的安全研究人员发来提醒——千万不要输入身份证号，不然这个社工库会进一步绑定你的查询信息，编辑知道后心情如图所示。