ShappyRaR | 1 points | Aug 30 2019 21:10:51

[转][安全上网相关]最近有很多推特用户被查水表了，国保是如何找到他们的？

原帖链接: https://pincong.rocks/question/593 [转自新品葱]
下面是一些人的回答,供链接点不进去的观看.

2

&rt;不一定不存在，但是其实根本不需要内鬼，就能完成这个过程
墙内运营商都是政府控制，手机验证需要发短信，这条短信很容易就可以被运营商截获，当事人看不出来
然后推特中文圈人就那么点（翻墙的人太少了），假如国保只针对粉量高的用户，那么目标数就更少
估计也就几千人几万人的样子，可能还不够

这种数量的话，直接选个深夜时段，拦截所有来自twitter的短信，然后手机找回一个个扫过去就行了
只要拦截到短信，就可以拿短信里的验证码去盗号，并且凭目标手机号就知道对应推特用户是谁
墙内人什么也发现不了，最多只是发现深夜两三点的时候收不到推特的找回短信，因为被无差别拦截了

说到底真正的内鬼是引入了手机验证这种危险功能的人，这个设计是安全风险的根源。引入这个功能本身就是背叛了自由世界。

3

&rt;邮箱，验证码方面老生常谈

以下也是老生常谈：

如果你要进行敏感操作：

&rt;
&rt;上推特不要用手机！！重复一遍，上推特不要用手机，再说一遍，上推特，不要他妈的用手机！！

只要你在推特上出了名，哪怕你在国外，党国找到你可是易如反掌的容易！
 不要在你的电脑上装任何国产杀毒软件，（因为这也就意味着你同意了杀毒软件可以公开扫描，上传所有你电脑中的文件），也不要用任何中资背景的浏览器，否则他们会将你的cookie，浏览记录甚至是保存密码等等东西统统上传（即使他们想保护你的隐私再强大的祖国面前也做不到）

不要用国产输入法，尤其是搜狗（虽然是个好产品）。但是你所写出来的信息100%会被存储到云里，进行大数据分析并且改进他们的产品服务，没有任何人可以保证这些信息不会落到特务手里。

4

&rt;这是国家级别的操作，原理：
在twitter的登录页面点击Forgot password，随后输入将要攻击的用户名，随后twitter会提供恢复密码的选项，手机号或密码。这两个信息都是带星号的，但手机号的星号仅遮盖中间四位（已更改，现仅显示最后两位），确定后twitter就会向该手机号发送验证短信。
由于是国家级别的，攻击者能够获取所有手机运营商的实名用户数据，也就是可以查找在一个短时间内特定运营商的一系列用户中有哪个/哪些用户收到特定模式内容的短信，也即锁定了该账户的实际使用者。

&rt;
&rt;啊，当然如果手机运营商无视信息安全那么就算不是国家级别的也可以做到。

5

&rt; 推特当然有我党同志成功打入啦！google一下陈葵是谁。
最近，中共加大了对中国大陆民众上Twitter的控制。中国大陆网友检视一下自己的安全：1）国内邮箱注册Twitter的，是否已换成国外邮箱？2）国内电话号码验证的，是否换成国外虚拟电话号码？3）VPN是否是国外可靠品牌？对于重点异议人士，中共看管很紧，这些没用。但是，对绝大多数网友而言这些非常有效。

7

&rt;请您注意：区域与语言，浏览器语言，代理路径。

如果全从美国等地区走，不需要输入手机号就能注册……

我就只用了邮箱，还是protonmail的

8

&rt;
&rt;
&rt;官方翻墙看推（用 bot 即可），发现有政治敏感推后
&rt;
&rt;通过支持表单的 API 查看手机号前缀，如果是 +86（中国大陆）就做个标记，过滤掉其他的人（如有用非 +86 手机号绑定 Twitter 还被抓的情况请告知）
&rt;
&rt;推主多半会泄露其他信息（定位、照片等），根据这个抓人