关于安全性问题,真不是那样:
1. 我们的分歧主要在nostr在大面积被禁以前,不少人是直连国内relay的(他们被误导这个平台是“去中心”的了);这样他们其实已经在 isp那里实名了
2. twitter只要注册的时候不是傻傻地用常用的email,找出的成本确实天价。
意思要冲KPI nostr上这些直连过的人肯定简单无数倍,不过可能Nostr不出名所以没人管,但有人举报就很不一样了
Discussion
为啥我经常听人说,自己在推特上发东西被人叫去喝茶了。搞得我一直觉得推特不安全
应该是 用户名 email/或发了和内网一样的东西被找到的;也有其他可能,reddit经常让使用 老王vpn的自己去自首,我不清楚是调侃 还是 真的有vpn是钓鱼执法
email原来不是公开的,那更安全了
外网没有类似社工库的东西吗?
这个社工库 具体是什么?
就是电报上的社工库,你把别人的微博账户输进去,它能给你姓名、手机号、qq号等等的东西。你如果愿意付费,它能给你更多。
应该有吧,不过这么明显违法的东西,不会很容易找到
如果twitter爆出过大规模拖库事件,那是有可能的。
“社工机器人 telegram” Google就知道了。
推特账户的邮箱能直接获取吗?
如果有某种手段获取邮箱,那也一定可以获取其他信息。
哦,原来不行; 我一直以为是公开的,那更安全了
所以被请去喝茶的那些人,被找出来的方法非常可疑… 理论上应该都是挂了梯子的,要么梯子是内鬼,要么twitter是。
我觉得是梯子 或 多次发和内网一样的文字和图片 可能性最大;twitter这么干没什么好处,对它坏处太多了
也可以直接入侵推特的数据库,如果国家级的力量真想这么干,应该不难。
我觉得很难,就攻击而言,要在哪里发起,境外的话,就算入侵成功,那么大的下载贷款,再傻也能注意到。
不过一般而言,这些企业严格遵守安全protocol的话都十分安全。不遵守会出点问题,但国家级去入侵我觉得很难;
* twitter, facebook这些大企业的安全性 不是 什么石油厂安全性乱来的的小服务器能比的
#[13] 评估一下入侵推特服务器难度
直接买通推特内部员工获取数据,比入侵省事。
突然想到,即使是梯子,也很难获取你的IP和推特账户的对应关系。数据在传输过程中都是加密的。
或许答案非常简单,那就是国内的邮箱监控了注册邮件…
哦,确实很可能。 建议用proton mail
这也说不过去,用国内邮箱注册推特的肯定不少。他是怎么把邮箱和推特账号关联在一起的呢?如果只是侦测到注册邮件,顶多知道你注册了推特吧,会知道你的账号吗?
有没有想过,邮箱运营商把你的注册邮件内容都交上去了,里面显然有你的账号信息。
总结一下:
1.使用电话号码或邮箱注册,可以通过技术手段拦截手机验证码,或者读取注册邮件,有你手机、邮箱就能知道你个人全部信息。
2.推特上内鬼发送假链接让用户点击可以截获ip地址。
3. 不靠谱的vpn翻墙软件截取用户信息。
4.自己不小心泄漏了个人身份。比如头像、昵称、说话方式都和墙内如出一辙。
5.国安使用大数据和算法分析结合你在墙内的发言认为用户和你相似度高。
理论上最安全的是在墙外用公共wifi发表言论且不定期更换地点,不使用个人电脑和手机。
#[14]
我还是觉得这个最靠谱,根本不用什么专业知识。随便在“高危名单”里抽一些有转发外网 + 会英文的出来,和“寻衅滋事”的定义重合率太高了
在回复@npub1rw07v4m9q007w5l9uelkgsjtylpwz2csvzhzfp0xv66m3lyeegnq4fpemg 后我想到了另一种思路,其实绝大部分人的安全性操作~= 0; 那现实很可能是更简单,这些被钓鱼的人大概都直接在微信 或 微博转发过twitter上的内容。然后被传召了也不会删内容(他们自己肯定也觉得没干坏事,没必要),然后就执法人员很简单能解锁手机。或者直接上门带走/路边检查站,连思考删除内容的时间都没有。
根据现在国内网络对文字图片内容秒删的审核度,这些网站都有对用户的发的内容的记录。那把这些记录中“高危”的用户抽一点出来就可以了(例如直接发言反党 反领导人的那批)。
毕竟要揪出编程随想那样的操作即使可行,都太耗费时间精力了;我猜大部分钓鱼执法的实质就是那样
用户是不好找,但知道在浏览Twitter,这个能识别。
社工找人并不难