到底是谁泄露了我炒币的信息？ – 作者:BUGX-安全小百科

等我回过头来想，一切似乎是从一个漏洞开始的。

可怕的传销从一通电话开始

清晨起床打开窗，阳光美美哒。

2019年新年伊始的一天早上，接到了一通来自广东的神秘电话，你好，请问是陈先生吗？最近还有在看币市吗？

传说中的空气币找上我了？我接了无数的广告推销卖保险网贷卖房的电话，第一次接到推销币的电话。出于好奇，我接着聊了下去最近行情不太好，还在观望，咋了？

咱们这边是火X网的合作伙伴，我们最近开了门课程，想邀请您体验下。看您这边之前有投资N元xx、xx这些币，还在持有吗？

作为一名安全（qiong）工作者(b)，我的注意力都在这件事情上：他清楚的知道我的姓名、电话、甚至我投资过的币种，以及多少钱！？？（黑人问号脸）所以我断定，名单和信息不知道从哪里买来的，但一定是一起某个我使用的区块链网站/app信息泄漏的事件。而这个课程网站，很可能是传销的第一步。

不知道是出于猎奇心理还是正义之心，我决定一探究竟，这到底是什么样的一个学习平台，而我的信息又是怎么泄漏的。后来我才知道这位电话联系我的人，是这个学习平台的群管理，自称为“老师助理”，负责“招募”学员及币友。

中间因为工作繁忙打断了两天，当我再试图通过微信联系这位管理时，此时对方的微信号已经封号了。于是又通过电话联系了对方，而此时，对方已经把平台名字改成了“币S客”。对方给我提供了在线课程的网站链接和一个临时账户名密码，登陆就可以观看。体验课程是免费，一年的会员费对方闭口不谈，只是让我看视频体验先。

“在线学习”网站背后的传销组织“

课程表上工作日每天都有四节课，下午3点-4点一节，其余3节课在晚上7-10点。

我登录的时候，正好有课程在播。在线课程的网站金“币”辉煌，充斥着各种财富的字眼，「百倍币」「千倍币」的字眼充斥眼球。不好意思，无耻的小编当时差点以为自己要暴富了。即将开启通往财富的大门。。。

刚进入课程的时候，有个普通话不标准的“老师”一直在讲k线，而展示的币也都是主流的数字货币。这？跟我想象中的传销不太一样啊。不是应该所有人一起喊：我们要暴富，我们要发财么？？？

（表情包：我们要暴富）

然后在课程进行到一半多的时候，聊天室里突然出现了一个提问：有百倍币推荐么？这时候，小编我虎躯一震，这波苦等不亏啊。

这时候“老师”就开始了，为了引起观众的注意，特意在屏幕上用鼠标写上了“百倍币”的字样。

后续内容过于敏感，请自行脑补。

让学员听的血脉喷张，一夜暴富的心情是课程的开始，随后通过一顿时间的勾搭，顺利进入了“组织”内部的微信交流群。在这里，有统一的“老师”指挥，不定时发操作的截图和口号、笔记，其氛围是这样的：

（截图）

要加入老师的实操团队，需要“开户”，每位老师带“限额200人”的团队，开户门槛有5万-10万美金不等。在连续被洗脑二十天里，我无数次都按住了开户的冲动，因为马上要还花呗白条微粒贷金条了。

我加入的这条线，最高级是“老师”，每个老师可以带“200人”团队；第二级是“老师助理”，负责传达老师的操作、指示，以及招募，每招募一个人，可以得到10%-20%的开户金额的佣金；招募到50位开户币友可以升级为“老师助理”；第三级是“币友组长”，由普通币友升级，招募20位开户币友可以升级为“币友组长”，同样可以得到5%-15%的开户金额的佣金；最次级的是普通币友。在“老师”之上的，我还没有遇到。（这是个高逼格的传销团队）

小编一直在各种渠道的报道中，了解传销、传销币的新闻。当真正的在这个社群里的时候，才发现，传销真的很可怕。每天给你灌输、洗脑，发送各种各样的暴富的宣传图片，交易暴涨10倍的截图，百倍币千倍币的口号。还好，我抵挡住了这一切的虚假诱惑，因为，我穷。

再回顾下整个事情的历程，不得不佩服，现在的传销技术也是越来越好，心思越来越缜密。早已不是海量传呼的年代，现在的传销，都是瞄准了目标，掌握信息。

因为此类传销电话，非常熟悉“每个币友”投资的币种及数量，所以诱导用户加入课程的成功率很高。至此可以断定，这是一个传销诈骗组织。

到底是谁、是怎么泄漏了我的个人信息？

小编因为是做信息安全行业的，所以很注重自己的个人信息安全，到底是谁泄漏了我的个人信息，我的身份证照片那么丑，被他们都看完了？？？

小编联系了玄猫区块链安全实验室的安全研究员。他们告诉我，很正常，就拿交易所来看，因为缺乏监管，即使很多大型的交易所网站、app都存在各种类型的安全漏洞。至于中小型的交易所，因为建站门槛低，滥用一些建站框架。毫无“安全性“可言。我们经常曝光一些0day的通用型漏洞，中小型区块链信息服务提供者的安全性和隐私性是重灾区。玄猫安全实验室的成员向我们提供了部分信息泄漏的案例。

案例1

某交易所数据库弱密码，直接连接数据库导致用户，网站敏感信息泄露某交易所数据库为弱密码，攻击者可以直接通过弱密码连接到数据库，可查看管理员账号，编辑用户信息，批准提币等。

大量用户信息泄露。

案例2

某交易所目录遍历，泄露用户身份证银行卡照片某交易所网站服务器配置不当，导致平行越权，攻击者可以查看所有用户上传的身份证照片和银行卡照片。

身份证信息

银行卡信息

案例3

非小号上某大型交易所严重泄露20W+身份信息。

修补漏洞只是临时修补，再修补过后不久再次发现同一漏洞源在另一处产生的漏洞。

漏洞详情：泄露云存储私钥，导致可以远程登录获取所有数据信息。

27万+条用户信息，包含账户、姓名、电话、银行账号、身份证信息等等，请问网站负责人读过《中国人民共和国网络安全法》吗？

监管下的区块链2019

一个小小的漏洞，在很多企业运营者心中微不足道，比不上股价、币价的抬升，但是一个小小的漏洞，可能导致的是信息的泄漏，导致个人信息在暗网廉价售卖，导致一个普通人被传销团伙作为目标接触，导致一个普通家庭的家破人亡。而这最初只是一个小小的漏洞。

国家互联网信息办公室2019年1月10日发布《区块链信息服务管理规定》（以下简称“《规定》”），自2019年2月15日起施行。国家互联网信息办公室有关负责人表示，出台《规定》旨在明确区块链信息服务提供者的信息安全管理责任，规范和促进区块链技术及相关服务健康发展，规避区块链信息服务安全风险，为区块链信息服务的提供、使用、管理等提供有效的法律依据。

监管下的区块链2019，信息安全的规范和要求，说来就来。你准备好了吗？

最后，如果遭遇了诈骗、传销团队，以下渠道可以向政府部门举报：

1.中国互联网金融协会

可以微信关注互联网金融协会微信公众号点联系我们-我要举报进行投诉，也可以进入官网进行投诉：http://www.nifa.org.cn/nifa/index.html

2.银监局

联系各地银监局电话进行投诉，银监局官网：http://www.cbrc.gov.cn/index.html

3.工商部门

全国12315互联网平台：http://www.12315.cn/　　

微信公众号：全国12315互联网平台　　

微信小程序：12315

手机APP：全国12315互联网平台　

被投诉方所在地工商局投诉热线：023-12315