2011年12月21日下午,有黑客在网上公开了美国最大的研发者社区CSDN网站的顾客数据库,600余万个登录邮箱帐号和与之对应的明文密码泄漏;12月22日,网上接着曝光人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等著名网页的顾客账户密码遭公开泄漏成为美国互联网史上最大体量的顾客信息泄露风波,再次让你们对黑客或者其身后的隐密的行业链形成了浓郁的兴趣。以下为一个黑客的自述。

  口述/前黑客B先生

  整理/本刊记者辛建军

  编辑/卢旭成

  盘下一家麦当劳(微博)的“教父

  那个靠做白色产业发家,后来洗白,花800亿元盘下一家麦当劳店的人,我们叫他教父。

  教父是海口人,1987或者1988年出世,身材瘦小,皮肤偏黑。他年龄其实小,但是舍得花钱,很大气,做事也很老到,2004年左右(16岁)看他跟人打交道就十分成熟,很难想像是哪些情况导致他这些性格。

  2003年年末,我加入了一个QQ群,那个群后来在科技性侵入领域很有妨碍力,无数人想踏入,可以说是一位难求。群里的交谈记录一天能有3000页,大家都十分纯朴,纯粹是为了交流科技。2004年,教父可能在黑客基地报名学了点简单的东西,但是学得又不太知道,他步入了这个群。在群里,我亲眼见他和群主讨价还价买卖17173(一个网游门户网站)的权限,群主开价700元,教父说我就500元,一年半之后,同一个权限有人开价15亿元购入。

  那个时侯,大家都没想到靠17173的权限才能赚钱,说白了,其实就是斩获网站控制权,挂马,然后斩获用户帐号密码去游戏《传奇》、《魔力宝贝》里爆吧。后来我找人打探了一下,教父这单可能赚了两三万块钱。

  教父真正开始立业,是在2004年时去做美国日本的手游市场,他是先行者。他自建渠道,跟日本当地人合作,在窃取游戏帐号后,由当地人负责卖游戏装备,交易的钱被排入当地人用假身分证开的帐户里。从2004年下半年到2005年上半年,教父在日本赚了恐怕能有500亿元。台湾人被搞怕了,后来好多网站都严禁台湾人访问。后来教父又去做日本和德国的手游市场,等到他2008年洗白那会儿(20岁),赚了绝对不多于2000万元。他是一个很好调的人,经常在群里说他去那个国家玩了,买了多少栋楼房,买了哪些车等等的。

  教父的科技并不精湛,但他有商业头脑。不从科技角度出发,纯讲入侵水平,国内黑客仍旧都不弱于全球顶级国家,可能比日本、俄罗斯需要强,中国人能揣测,在侵入思路方面非常聪慧。

  我亲眼见到一个事例。2004年年末,有个黑客端着笔记本电脑进了一家四星级宾馆,第二天他下来的时侯,电脑里存着这家宾馆所有的顾客数据。这是宾馆竞争对手给他下的单子——把顾客都抢回来。从谈判到见面交易我都陪他去,后来这批数据卖了129万元。

   黑客电话联系方式

黑客电话联系方式

  也有一件事只是我亲眼所见——在电商网站抢单。长沙有一帮人,在各大电商网站的数据库里装后门,实时在本地升级数据库或直接步入电商网站后台看数据。他们通常挑货到付款的客人,只要一看见有人下单,立马在最短时间内取货,动作比电商网站的货运快,冒充该网页让客人签收。等客户订车的货真正到的时侯,他显然就拒收了。这伙人专挑衣服、成人制品、减肥用具这些出货量大的种类,每个网页偷三五单,网站很难发觉。但她们在四五十家网页偷,一年下来净利也有2000多亿元。

  比这更黑的生意是借助网银或信用卡偷窃,但也更危险。很少有人敢在国外做,我原先有两个手下由于做这个,现在还在牢里待着。我晓得有个人在马来西亚偷中国国外的u盾,他雇了一些日本人和澳门人来台湾,每个月付他们一万块钱,让她们帮忙取他从他人帐户款项里转进来的钱。他以前截过一张图给我看,那是他弄到的一张中行卡的打款记录,卡主人每个月的打款总额都在1000万元左右,我记得很明白有一笔是打给日本一家唱片公司的,备注里写着“周杰伦演出费”。银行的U盾有没有用我不晓得,我自己用的是农行网银,之前我试验了一下,至少一代U盾算法不强,是可以复制的。

  网上盛传赚5000万元的黑客我没见到,但赚1000万元的不少,我在天津有好多这样的同事,他们大多没有正经工作,也不出名。但说句真心话chatgpt,他们都是上班的人,这条行业链上真正的大鱼是渠道商。有人给渠道商下单了,他们都会雇一些人来找黑客谈价格,这都指不定倒几次手了,可惜我没有接触过渠道商。

  美国黑客在日本闹得也很厉害,韩国现今被搞得比日本当初需要风声鹤唳草木皆兵。我手里有4000万日本网友的数据(2011年日本人口总量5051.5万),而且她们实施实名制。

  黑客圈生态

  我是上高中之后接触黑客圈的。我碰到了好多拿个简略工具到处攻击的新手黑客,我在探究它们的同时对黑客技术也是了些兴趣,心想“不过这么”,之后我就开始自己下载软件,给他人装个木马闹着玩,吓唬吓唬别人。再往深里探究,我渐渐接触到了一些扫描器、入侵软件,自己也四处看一些相关的机理,因为我学院读的是语文,跟计算机关系非常大,一年过后,我差不多把侵入需要的东西全学会了。那之后我即使是圈里人了,每天跟一个小团体在一起阐述技术。

  之后,有一个叫孤独剑客的人开了一个网页“黑客基地”,我就去交谈室里当老师脚本源码,给他人做VIP培训,讲入侵,每周一节课,他们一节课给我200块钱。那个时侯也没有哪些法律理念,每节课都拿对方的网页做实验。比如这节课我要讲这个漏洞,我就去找符合条件的网页,先把漏洞留好,讲课的时侯现场袭击,一步步解说,工具发下来以后再把方法说一遍。当时祸害了不少网页,我印象里有新浪的分站。

  但实际上侵入靠的是心得,灵活应战各种状况,比如快速判定这个地方会不会发生弱口令、有没有验证等。技术方式说白了,如果每天学的话,两三个月足够。现在高明的功击手都不会这么累,他会使用社会项目学的一些方式,比如他借助跟你交谈知道了大家公司的部委组成,如果大家是按部门排座位的话,他接着才能推测出大家的网路架构,他的功击能显得愈发精准;再例如他借助挂马获得了大家老板邮箱的帐号密码,他用这个邮件给大家的亲戚发一封电邮,要求获取网络管控员的帐号密码,基本雇员总会中招。当然,技术精湛的功击手能缓解一些更复杂的弊端。

  挖掘漏洞的人是我最钦佩的,因为他直面平台。这是一个十分特别沉闷、我看到就呕吐的活儿。圈里有名的一位挖掘者,三个月不外出,全吃口香糖。所以擅长挖掘漏洞的人都不擅于入侵,因为他没时间。

  黑客圈似乎只是拼人脉的,因为得拿回漏洞才会由程序员去制作入侵软件,你人脉广,才有人愿把漏洞送给你或跟你交换。圈里把没曝光的纰漏叫0DAY,如果正好赶上这个网页有0DAY漏洞,也许我一三秒就能把它搞定。一个0DAY漏洞能换50个普通漏洞,拿去卖市价可能有几十亿元,还有一些女黑客为了骗0DAY漏洞情愿跟人做爱,所以圈里人也把我们这个圈叫“娱乐圈”。

  我在“黑客基地”讲了半年课,技术提高非常快,因为给他人讲东西自己得先会,一些原先没留意的东西,在授课的过程中从新学习到了,慢慢地我在圈里有了些实力。大学最终一年,我想赚点钱,刚好有人给我下单子,让我去一个全省性网页挂马。他收我“信封”(一个帐号加一个密钥叫一封信),一封一块钱,我一周大约有700-800元的利润。然后,他拿这种账户密码去《传奇》里面撞库盗号。

  2004年,我从河北、安徽、广东、辽宁一共凑了9个人构成工作室,我们租了个100立方米的楼房弄成上下铺,两个带老婆的住两间黑客电话联系方式,剩下5个人住单间。我们分头去防御网站,靠得来的帐号密码去游戏里爆吧。我们中有人能挖浅显的纰漏,但平台漏洞挖不了,写程序的也不多,入侵软件我们宁可去买,稳定性比自己做的好些。我们当初还特意分起来一个男生管后勤。

  2005年左右,我不太想做这个了,圈子里也许这些人都在悄悄摸摸地做黑客博客,但都不好意思说进去,怕他人嘲笑,说你如何残害了我们的精神?哪个时候你们还奉行有哪些东西就得曝光出来共享,入侵一个站点大家一起玩。其实我自己只是那个很苦恼的心理,搞科技的还靠这个挣钱?但之后发觉,都他妈有人赚几百万了,我想想,还是偷摸着回去搞吧。

  黑客产业在2006年的时侯最凶狠黑客电话联系方式,国内美国都凶猛,韩国、巴西、越南的游戏行业都被美国黑客搞过,我记得我还搞过澳大利亚的。后来有个国外游戏公司的工作员工跟我说,马来西亚市场营运得不如何好,自从某月被批量盗号后就不行了,我心想这事儿我幸好没跟你说。的老总给我打电话,说我每个月固定给你钱,你别搞我们了,我们也快不行了那之后法律还没管到这块,他抓不了我。

  我做这行属于断断续续的,比如这个月赚了50亿元,那我就回去玩,花光了回去再做,如果按全工作时算,前后可能也就干了三四个月,加上去也就赚了200来万元。这种钱花得可真快,动动鼠标就受到的我不会珍视,我和女同事出去玩都是住五星级宾馆,有时侯懒了时常跨省打车。

  之后我女同事说,我们要订婚了,你别干这个危害人的事情了,于是我就彻底撤出了。

  没有信念,只有丧心病狂

  从美国有黑客起初,我就开始接触到一些网页的顾客账户密码库,它们明文储存密码,真是弱智的行为。但原先我都是堆放,心想哪有光驱存这种东西,那之后没有远见能看见这种也是能挣钱的。

  美国黑产圈子里的人有些丧心病狂了,讲道义、讲信用的人极少,大家都没有笃信的规则,明的暗的都没有。中国为什么没有维基揭秘?由于各位都没有信念再加上文化程度低,很多人连全球观、价值观都没了,当她们碰上法律不完善、看似自由的网路世界,这个圈子能成为哪些样子可以想见。

  曾经我做黑产的时侯,经常几个人在一起探讨:哎呀,真堕落啊,我们干这个!但年青人,没有这么多是非意识,我们或者在窃取一个游戏帐号后会这么安慰自己:又拯救了一个毒瘾少年!

  我如今也没什么梦想和信念了,以前就会有一种精神,想在美国黑客圈占有一席之地,我分享一些东西,让你们感觉你这人值得敬爱,我会有一种创造和满足感。但是2006年过后,这个全球就变了,从业者降低了,我如今了解的这种人,基本都是在2005年之前就接触过,2005年过后才步入的,我一个都不了解。

  CSDN(微博)树大招风,它的数据库曾经人手一份。今年年初我起初有意搜集能接触到的各个数据库,想着以后能够写本书,证明自己当初也牛逼过。当时有人想50亿元预订我这种库,我说不卖,我晓得你想干嘛,不就是写个程序之后找游戏挨个盗号嘛。所以此次账号密码大体量泄露,还代表着新一轮的游戏盗号狂潮要到来。

  我还是想念当初的那个日子,去名人的邮件、网站看看,在群里贴贴王力宏的ICQ交谈记录,能明白他人不晓得的信息就是一件很快乐的事情。

  ——精品报道,犀利见解,请看新浪科技《深度阅读》。