在互联网,OIer 如何保护自己的隐私信息不被泄露?

· · 个人记录

\Huge\bf\sf{Privacy} \large\sf\text{「 is dead, get over it. 」}

零、前言

在互联网上,使用隐私信息来对网民进行威胁迫害,或者专门以公开大量隐私信息为乐的情况并不少见。开盒,网络流行语,指在网络上公开曝光他人隐私的行为,是一种网络暴力行为。有的时候只不过是同学间开玩笑的一些评论,到了最后会成为一次开盒的重要突破口。对于 OIer 群体而言开盒难度更有所下降,OIer 奖项查询的数据库使得 OIer 被开盒更为方便。

我是开盒的受害者,同时我通过我信息流出的过程摸索到了一点开盒的方法(虽然但是 2019 年知道的也差不多忘没了)。这些技术不想用来伤害他人,我选择了逆向使用这项技术并传授出去,教大家如何防止被开盒,告诉大家一些有效的信息保护方式。我以扒出隐私信息的角度入手,针对其一般流程针对的制定保护方案。

这篇文章旨在让人知道一些有价值的信息和对应的保护策略等,没有任何不当目的。如果你在读此文章的时候有他心,此文章不欢迎你。此文章是一篇帮助 OIer 保护个人隐私信息的文章,而不是开盒带蛇用来反查 OIer 个人信息的文章,并且我在最大程度上避免了读者可以从文章里读出开盒方法的可能。

这篇文章会持续更新,并且我无法保证按照本文采取措施之后有 100% 概率不被开盒:道高一尺,魔高一丈。漏洞是始终存在的,利用手段也是会持续变化和加强的。本文只能尽力避免可能的简单攻击,仅此而已,实在抱歉——但是在大多数情况下足够了。

本文的针对对象也包含非 OIer 群体——实际上 OIer 和非 OIer 之间只差了一些数据库,和其他的手段相比来讲实在是不算什么。所以还是建议阅读的。

以及,愿世界上没有开盒。

一、一些需要保护的个人信息

  1. 个人身份信息

    标签:信息冒用、恶意扩散威胁;

    • 姓名(及首字母):姓名是一个人的核心身份信息,可能被用于身份盗窃或欺诈活动,可做「找回密码」验证的实名部分,还可以被恶意扩散以达到威胁目的。姓名和身份证可能会一起出现,用来进行身份绑定或者身份认证。
      特殊的,由于 OIerDB 等数据库的存在,姓名首字母结合其他信息可以直接关联到真实身份。
    • 身份证号码:身份证号码是唯一标识一个人身份的敏感信息,泄露可能导致身份盗窃,可做「找回密码」验证的实名部分,是开盒的一个大目标,得知泄露时对人的心理损伤程度较严重。

  2. 联系信息

    标签:骚扰、恶意扩散威胁;

    • 电话号码:电话号标识了服务商、区域等信息,也可以关联到绑定的社交账号和其他软件,甚至更多信息。同样,电话号也可做「找回密码」验证的电话号补全部分。

  3. 地址信息

    标签:潜在骚扰、人身安全、恶意扩散威胁;

    • 家庭地址:家庭地址的泄露可能导致个人安全风险,小则盗窃,大则……堵门暴力威慑,或者直接入室。如果不是好兄弟姐妹间闹着玩,那我建议找一些部门求助。
    • 学校(工作)地址:和上面同样重要。和上面相比,学校(工作)地址同样包含了教育经历或职业信息。
      特殊的,由于 OIerDB 等数据库的存在,学校结合其他信息可以直接关联到真实身份。
    • 户籍所在地址:根据编排规则描述,户籍所在地直接决定了身份证号的一些位数所在,越精确位数越多——省市已经有四位了。

  4. 特征信息

    标签:信息冒用、人身安全、恶意扩散威胁;

    • 照片:这是在线下找人的一个好方法,我们并不能确定那些不明来源的找人者会做出什么事,可能会对人身安全造成威胁。也很重要。
    • 指纹、虹膜扫描、面部识别数据:常用于生物识别系统,关联到身份验证、手机密码、支付密码等。
    • 字体:字体可以被学习、模仿,用来伪造身份,损害个人或他人利益。

  5. 账号信息

    标签:泄露关联;

    • 非公开的社交媒体账号:社交媒体账号中包含了个人生活、学习、工作的大量信息,泄露可能导致极严重的隐私泄露——较恶劣会是住址、照片、姓名等,主要取决于泄露程度以及是否注意控制。
    • 网络平台账号:网络平台账号上会隐性的展示出一个人感兴趣的领域等兴趣倾向信息,可以辅助确定出一个人的身份。

  6. 书签和浏览数据

    标签:泄露关联;

    • 书签:书签,一般来讲是最常用的网站列表。可在很大程度上反映个人兴趣和行为。若书签命名中包含隐私数据,在截图中会直接泄露。
    • 浏览数据:可反映个人兴趣和行为,并推导出其他身份信息,例如说年龄区间、工作。

  7. 聊天、定位和通信内容

    标签:泄露关联、信息冒用、恶意扩散威胁;

    • 聊天记录:更大程度上可以确认与聊天的人的关系,兴趣倾向等。若聊天信息中包含了真实信息,会直接导致泄露。
    • 收件箱、通知信息:显示了你注册、使用和订阅的网站(见 6),也可以显示联系人。若短信和邮件中包含了真实信息,会直接导致泄露。
    • 评论信息:部分评论可以确定出用户与被评论账号的关系:朋友 / 同学等,并可以通过与对方主动交流套取到相当大程度的信息。
    • 定位信息:若长时间进行定位跟踪,可以推断出住址、学校(工作)单位等(影响请见 3),更可以确定当前所在地。

  8. 生日

    标签:泄露关联;

    • 生日:至多八位身份证号。

还有很多重要的信息可能遗漏并未列举,请注意保护。

二、信息保护方法

如果你的个人信息已经泄露的七七八八,或者不在意个人信息是否泄露,可以无视。

如果你早就做好了保护,或者从未泄露过任何一点个人信息,可以按照本文内容完善防护,更是建议在评论区提出一些建议,随时补充保护方法。

每个行为的头部标签 PT / AT,代表 你应当有这个习惯(Passive Trigger)/ 你要有意识的做这件事(Active Trigger)。

(一)日常维护 ver.

这些是相当于习惯一样的内容,不用太花费时间和精力来做。

  1. [PT] 不公开

    原本你这些信息是没人知道的,全要靠别人开。但是,你自己公开了信息,就相当于你拆除了你房屋的门一样,别人进屋是轻而易举。

    不要自己发出来,注意你的邮箱是否涉及信息(例如说含有真名的邮箱),你的空间是否也涉及你的个人信息(在你远古发空间的时候你不会知道注重隐私保护的)。

    如果你已经成年了,有车之类的,不要一直留一个挪车电话号,只有当停到实在是不太好的地方再留。电话号会被走过路过的一些有特定目的的人记录下来,并售出,接下来会有一些机构进行电话骚扰。

    注意照片和截图:作业(拍照包含作业卷名字)、演讲稿(截图:大家好我是 xxx)、网页标题(xxx 单词测试 51~100)及收藏网站命名(xxx - 个人档案 - 学校名)、网站信息(右上角注册用户名为电话号或真名)、文件夹路径(某文件夹为 xxx 学校作业)。均源自真实案例。

  2. [PT] 谨慎绑定

    第一层意义:谨慎绑定个人隐私信息。不是所有的软件都珍视用户隐私信息的。务必要谨慎绑定。请注意公开情况,并第一时间找到不想要公开的内容并设置不公开。

    例如说,QQ……哦现在 QQ 更新之后貌似不能用真名搜索到用户了。请自觉警惕和真名及其首字母搜索功能有关的所有软件。字母序对撞都可以挨个撞出来。

    若有必要使用一些一定会泄漏信息的软件,建议使用单独手机号绑定等其他措施。

    第二层意义:少使用网站和应用的互相关联的功能。若你的账号被关联起来,改 id 之类方法来避免被发现将会不再管用。

  3. [PT] 尽可能少提供搜索方式

    把钉钉、支付宝、微信等应用类似于手机号搜索的功能关掉。只提供一个 ID 搜索或者扫码搜索是很好的保护方式。

    微信:请务必关闭 QQ 号搜索和电话号搜索
    QQ:请务必关闭电话号搜索、通讯录搜索(一定要关闭!通讯录批量导入 = 暴力对撞电话号码),酌情关闭「可能认识的人」推荐。
    支付宝:请务必关闭手机联系人搜索、手机号找到,并关闭真实姓名显示
    钉钉:请务必关闭手机号搜索

    当你在其他某些社交平台(如微信)或网站是实名的时候,你会感到非常震撼。见过一个 qq 隐私保护很好但是加他微信的时候微信上是实名的。

  4. [PT] 使用不同且不易被识别的 ID

    这里说的 ID 更多同时指账户 ID(如微信号、QID)和用户名。

    当你在全网都使用同一个 ID 的时候,你需要知道你已经自己把你的所有信息串联起来了。这样是很危险的,参见上面「分开绑定」部分。

    我现在在使用至少 7 个不同的账户 ID,有些 ID 甚至是在网络上常见的 ID,或者出现在动漫作品、游戏作品等中人物或者物品名的中文、英文、日文等,可以在一定程度上避免被直接检索到用户。

    尤其是会显示 IP 的地方,如「知乎」「哔哩哔哩」,一定要使用一个别人认为几乎不可能是你的 ID。为什么强调「认为几乎不可能是你」呢?原因很显而易见:如果说你的 ID 有你的显著特征,如姓名、生日、QQ 号等,你就会被辨认出来。我曾经猜过我在学校 QQ 群里的老师的微信号,两个是姓名 + 生日,一个是姓名 + QQ 号,另一个是姓名 + 学科。经询问,我得知这些信息都是准确的。很可怕。

    同样的,请避免公开关联账号。如果你在 QQ 空间里贴了你微信的好友二维码,你的微信里内容也会同样暴露,这是显然的。这点在上面也有提及。

  5. [PT] 慎重下载

    有些软件含有后门,可以窃取你的信息,或者含有病毒,也可以窃取你的信息。你的信息就会在不知不觉之间流出,你甚至不知道会让什么人知道。这些会导致并不容易流出的数据被泄露,如浏览数据和聊天记录。

    在下载一些要求注册账号的无法保证信息安全的软件中(尤其是付费软件),你的购买渠道、联系方式会和账号登陆 ip 绑定在一起。你的数据安全无法得到保证。

  6. [PT] 避免输入敏感信息

    当你被强制实名认证时,尤其是被要求绑定身份证时,如果对方没有至关重要的意义,或者你无法完全信任对方可以充分保证你的信息安全时,不要绑定,或者可以选择绑定一个假的信息。

  7. [PT] 设置不同且不易破解的密码

    账号被盗会导致绝大多数信息泄漏。在一些网站,有些内容例如手机号,是可以切换不公开显示的;但是当你的账号被盗取时,绑定的隐私信息会更大程度上暴露出来,因为盗号者是以「账号拥有者」而非「访客」查看你的个人信息界面的。

    一定避免使用个人信息作为密码,如姓名、生日、口头禅等。这会让你的账号变得异常容易破解。特朗普的推特账户密码就被破解过,而密码的一个重要部分是他的口头禅。

    传送门:密码要怎么设置才能高强度、多样、好记?

  8. [PT] 隐藏部分 OI 经历

    1. 隐藏部分奖项

      获的奖项越多,越能确定住唯一一个人。尤其是 NOI 等相对高等级别比赛的奖项,基本可以锁定一个极小的范围了。

      最好就是在洛谷不显示、对外不公开所有的奖项经历,除非意愿如此或者确实有需要。

    2. 对陌生人回避 OI 经历

      因为 OIer 存在数据库记录选手一部分信息,所以建议 OIer 在网络上奇奇怪怪的非 OIer 很多的场合尽量回避谈及你 OI 的经历。这会让你有一个 OIer 的标签,在查询隐私信息时提供开盒者一个便利。如果无法避免被发现是 OIer,尽可能回避比赛、奖项、用户 ID 等信息。

(二)主动防御 ver.

如果你的信息已经有了一定程度的泄露需要补救,或者有泄露风险,在做到以上内容的同事,可以参考这里。

  1. [AT] 自查

    定期查询你的个人信息是否泄露。

    例如说 QQ 的数据库泄露了很多次了,可以尝试着去自查一下你的 QQ 号是否泄露。

    如果泄露的是假号或空号,不必担心;否则你需要采取一些措施。

  2. [AT] 注销

    如果你很确定你的账号泄露且被盯上了,不要恐慌,你可以选择注销它。如果账号内绑定着一些珍贵的数据,建议你斟酌斟酌。

    社交账号通常好办一点,把你想要转移的群说明一下就可以让小号进大号退了。

  3. [AT] 换绑

    账号绑定的手机号可以进行更换,之后废弃以前的手机号,也是一个不坏的选择。尤其是以前的手机号被数据库记录下来的时候,当记录的成为了一个空号时可能会感觉安全一点。

  4. [AT] 分开绑定

    建议钉钉微信支付宝 QQ 手机号分开,不然一个手机号的泄露就能搜到一车很重要的隐私信息。手机号并不是很难查,所以请务必分开绑定。尤其是 QQ,强烈建议单独绑定一个手机号。

(三)高级保护 ver.

如果你执着于个人的信息安全甚至于魔怔的程度,了解以上内容之后可以看一下下面的内容。否则可以直接跳过。

  1. [AT] 挡刀

    什么是挡刀?就是利用别人信息来保护自己的信息。

    简单挡刀:购买挡刀账号。如果你的手机号在数据库里面(代表已经泄露)就没有必要买挡刀号了,你应该先进行换号换绑。

    挡刀,甚至可以用美国,英国等其他地方的手机(Google 虚拟号码可以了解一下),还有其他的名字,比如猫女士。这些可能会让你的支付宝用不了。

    同样的,可以在网络上买专门的账号,但是会有盗号风险。因为你用的是其他人的手机号,给你密保什么改了是轻而易举的。

    实际上,不需要更不建议买挡刀号子,因为卖挡刀号子的是什么人我们很清楚,如果想,卖的人可以找回账号,你会面临更严重的泄露。实际上,用一个电话号绑定然后把这个号变成空号或者废弃的号,这个号就是自己的一个挡刀号子,就万事大吉了。而弊端则是无法接收到验证码信息。

    个人认为,对于执着于信息安全的人来讲,挡刀是比较重要的,因为个人信息的泄露是不可避免的,在对方不知道你是 OIer 的前提下没办法很快开出来你的信息。

  2. [PT] 使用代理

    假如说你是一个北京人,你可以挂一个福建或者上海的代理,使你的信息得到充分保护且不容易被认为是假的。代理如果免费,可以几乎 24 小时不间断开启。

    为什么强调 24 小时不间断开启呢?因为在你访问几乎所有网站的时候,网站会自动记录你的登录 IP。IP 可以精确到户。如果是一个网站管理员要开你的个人信息,直接翻看你的登录 IP,足够了。你的住址、学校等信息几乎都会泄露,如果你在家或者在学校进入了网站。

    并且建议安装 WebRTC Leak Prevent 插件,选中 Disable non-proxied UDP (force proxy)(禁用非代理 UDP(强制代理))模式并给予隐身访问权限(Incognito protection),因为存在一个漏洞使得开代理时真实 ip 仍会泄露,详见 这里,是否生效可以在 这里 查询。

    我对使用国外代理持保守态度,因为有些网站可能会拦截境外 ip 的访问,有些可能还会将境外访问标记成危险登陆行为,导致你自己的使用非常不便。

三、个人信息的重要意义

有没有想过:你的信息可以被干什么?

答案是想干什么就干什么。这已经非常可怕了。

你的个人信息可以用来伪造你这个人,被其他人用去诈骗、冒名顶替等。

请注意「找回密码」这个功能,当你的信息被收集足够多之后,你应该能想到「找回密码」是有多么的容易。

你也可以尝试看看其他人的各种信息是怎么被一些人做违法的事情的。很可怕吗,是的,很可怕。

或者你的信息可以单纯满足开盒带蛇的变态欲望,你的信息会挂在一个网页上,供很多人观赏、抹黑,或者对你进行迫害。

四、我的信息已经泄露了,我要怎么办?

举两个例子。

在袁老去世之后,有几个人大肆发表辱骂诋毁袁老的言论,不仅被抓进了局子,个人信息还被热心网友开出来,姓名身份证什么的一个不差。

MC 反外挂 up 兼服主 Dr.风云迈阿密,因为反外挂意识非常强烈,被热心纪狗开出来了,姓名身份证还有曾用现用手机号什么的也一个不差。

可以说,只要你不魔怔,不乱骂人,不发表很极端的观点,没人鸟你

泄露了没关系,管住你自己的手,管住你自己的嘴,没人会再鸟你。

即使有人开你了,你不是什么很大名远扬或臭名昭著的人物,你的信息没有价值,也不会流传出去很远。

如果可以,也进行一些补救,收回和无效化一部分已经泄露的个人信息吧,不要让看到的人越来越多。

如果你认为「如果你没有什么可隐瞒的,你就没有什么好害怕的(If you have nothing to hide, then you have nothing to fear)」,以此来表明更多的和侵入性的监视是合理的,我持反对观点。建议看看一些人对待这一点的态度以及和前者主题相似的内容。

\sf\text{「I thought the rule was if you have something to hide, you have nothing to fear」}