開(kāi)盒“社工庫(kù)”

百度副總裁謝廣軍女兒“開(kāi)盒”事件，持續(xù)引發(fā)外界對(duì)數(shù)據(jù)安全的擔(dān)憂。他在回應(yīng)中提到，女兒是從海外社群網(wǎng)站上獲得他人隱私信息并發(fā)布。

這個(gè)海外社區(qū)的核心，就是“社工庫(kù)”。

以“社工庫(kù)”數(shù)據(jù)為核心，在海外社交平臺(tái)上大張旗鼓倒賣(mài)數(shù)據(jù)、招募公檢法內(nèi)部人員的群組并不少見(jiàn)。在單個(gè)群組內(nèi)，不斷有人查詢并披露他人的名字或手機(jī)號(hào)，基礎(chǔ)信息為機(jī)器人自動(dòng)回復(fù)。若要更為隱秘的信息，則要添加“社工庫(kù)”的客服花錢(qián)購(gòu)買(mǎi)。

“社工庫(kù)”是什么？

數(shù)據(jù)洶涌

“社工庫(kù)”的存在歷史悠久，甚至比這個(gè)惹事的小女孩的年齡更長(zhǎng)。至少15年前，就有大量媒體披露過(guò)，在“社工庫(kù)”上，能搜羅到大量個(gè)人信息。

可時(shí)至今日，解決不了的核心痛點(diǎn)恐怕在于，平臺(tái)和服務(wù)器都不在中國(guó)境內(nèi)，海量信息單向流出后，技術(shù)上難以溯源，追蹤成本巨大。這也是你不時(shí)能接到來(lái)自緬北電詐園區(qū)的電話，被各種推廣短信騷擾的原因。它們不少都來(lái)自這些隱秘的渠道。

引爆信息泄露最大爭(zhēng)議的事件恐怕很多人已經(jīng)記憶模糊：2016年，山東數(shù)十萬(wàn)考生信息泄露，來(lái)自山東的18歲女孩徐玉玉，因?yàn)榘? 900元學(xué)費(fèi)打到騙子的賬戶而發(fā)生心源性休克，不幸去世。

以至同年，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》迅速問(wèn)世，并頒布實(shí)施。其中明確，嚴(yán)禁任何個(gè)人和組織竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。違反者，尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒(méi)收違法所得，并處違法所得一倍以上十倍以下罰款；如果沒(méi)有違法所得的，處一百萬(wàn)元以下罰款。

但因信息泄露出現(xiàn)的惡性事件仍然層出不窮。開(kāi)房數(shù)據(jù)、打胎記錄、銀行流水、司法口供、婚姻記錄、社保記錄……在某“社工庫(kù)”社群里，公然列出了52種待查、可查的數(shù)據(jù)信息，從居民檔案、人物定位、銀行信息、司法案件，宣稱只有你想不到的問(wèn)題，沒(méi)有你查不到的數(shù)據(jù)。

2025年初，公安部發(fā)布一條新聞，2024年，按照公安部統(tǒng)一部署，全國(guó)公安機(jī)關(guān)深入推進(jìn)“凈網(wǎng)”專項(xiàng)行動(dòng)，全年，共偵破數(shù)據(jù)泄露相關(guān)案件7 000余起，抓獲一批犯罪嫌疑人。

然而根據(jù)網(wǎng)安創(chuàng)新聯(lián)盟和零零信安聯(lián)合發(fā)布的信息泄露檢測(cè)報(bào)告，全球性相關(guān)信息泄露事件仍舊層出不窮：

2025年3月2日，有售賣(mài)者在“社工庫(kù)”發(fā)布一份國(guó)內(nèi)某智慧校園系統(tǒng)平臺(tái)的數(shù)據(jù)，共10萬(wàn)條，內(nèi)容包括姓名、ID、密碼等。

2025年3月4日，有售賣(mài)者在“社工庫(kù)”出售一份越南海軍的數(shù)據(jù)資料，共987萬(wàn)條，內(nèi)容包括姓名、性別、ID和密碼等。

2025年3月5日，有售賣(mài)者在“社工庫(kù)”以350美元的價(jià)格出售一份國(guó)內(nèi)某銀行辦理信用卡的客戶信息數(shù)據(jù)，共8萬(wàn)條，內(nèi)容包括姓名、性別、出生日期、手機(jī)號(hào)和身份證號(hào)等。

2025年3月5日，有售賣(mài)者在“社工庫(kù)”出售一份塞爾維亞共和國(guó)文化部的政府內(nèi)部文件，共 4TB，內(nèi)容包括姓名、地址和電話等。

2025年3月7日，有售賣(mài)者以400美元的價(jià)格在“社工庫(kù)”出售一份日本厚生勞動(dòng)省的政府內(nèi)部數(shù)據(jù)，共2 000萬(wàn)條，內(nèi)容包括姓名、電話、地址和郵箱等。

這些信息是因何泄露、如何流通，又是如何引發(fā)一系列社會(huì)事件的？

暗查

《商界》記者設(shè)法進(jìn)入到一個(gè)“社工庫(kù)”內(nèi)部群，發(fā)現(xiàn)群里正在以“日入過(guò)萬(wàn)，絕不吹牛”的噱頭發(fā)布營(yíng)銷(xiāo)信息，大量招募公安、銀行、運(yùn)營(yíng)商、工商和快遞等渠道內(nèi)部人員。

我們以工商人員的身份與相關(guān)人員接觸。對(duì)方異常謹(jǐn)慎，絲毫不會(huì)泄露任何一點(diǎn)背景資料，但卻向我們尋求身份認(rèn)證，并丟過(guò)來(lái)一個(gè)名字，讓我們?cè)诠ど滔到y(tǒng)里查到這人的工商相關(guān)信息作為佐證。并承諾，查一單給我們提成20元，一天穩(wěn)定有上百單。如果能夠達(dá)到500單，就能日入萬(wàn)元了。

當(dāng)我們以風(fēng)險(xiǎn)太大為由，想繼續(xù)跟對(duì)方糾纏時(shí)，對(duì)方說(shuō)了6條保證安全的措施：

1.會(huì)送給我們一部專門(mén)的iPhone15手機(jī)，內(nèi)置所有軟件，到手開(kāi)機(jī)即可專線對(duì)接；

2.會(huì)提供無(wú)須實(shí)名的境外流量卡，無(wú)需實(shí)名的1對(duì)1微信；

3.有專業(yè)人員幫助解決各類業(yè)務(wù)怎么出單，保證快速上手；

4.會(huì)有專業(yè)培訓(xùn)人員培訓(xùn)如何規(guī)避風(fēng)險(xiǎn)，完美去水印等；

5.對(duì)方所有團(tuán)隊(duì)人員均不在中國(guó)大陸；

6.可以選擇現(xiàn)金、黃金、購(gòu)物卡等各種結(jié)算方式。

我們重新以用戶的名義，進(jìn)入到一個(gè)“社工庫(kù)”社群，嘗試這類社群提供的數(shù)據(jù)和信息的準(zhǔn)確性。開(kāi)始，我們隨便在網(wǎng)上找了一個(gè)女生的自拍照，支付后，對(duì)方很快就發(fā)來(lái)了這名女生的“PLC·公安部全國(guó)人口信息庫(kù)”的截圖。姓名、性別、民族、身份證號(hào)碼、戶口地址等身份證主要信息一應(yīng)俱全。

我們?nèi)耘f懷疑數(shù)據(jù)的匹配真實(shí)性，于是在爭(zhēng)取同事同意后，冒著信息被泄露的風(fēng)險(xiǎn)，支付費(fèi)用后查詢了他的開(kāi)房記錄。3天后結(jié)果反饋回來(lái)，他5年的出差記錄，從入住和離店時(shí)間、同住人員姓名和身份證號(hào)，酒店位置、房號(hào)等，一應(yīng)俱全。

當(dāng)我們以好奇為由，詢問(wèn)對(duì)方數(shù)據(jù)從哪里來(lái)時(shí)，對(duì)方只發(fā)過(guò)來(lái)一個(gè)微笑的表情。

我們又以“社工庫(kù)”為關(guān)鍵詞，在境外某社交平臺(tái)搜索相關(guān)社群，有高達(dá)834頁(yè)的社群信息。即使按照每頁(yè)10個(gè)社群估算，提供相關(guān)黑色數(shù)據(jù)服務(wù)的社群也高達(dá)8 340個(gè)。其中有多個(gè)顯示高達(dá)35萬(wàn)、11.1萬(wàn)等用戶的“十萬(wàn)加”社群。

某安全團(tuán)隊(duì)2023年的研究報(bào)告顯示，平均每個(gè)中國(guó)網(wǎng)民的隱私數(shù)據(jù)在黑市被轉(zhuǎn)賣(mài)超過(guò)12次，完整的個(gè)人檔案（含身份證號(hào)、手機(jī)號(hào)、住址、消費(fèi)記錄）標(biāo)價(jià)200—500元不等。在暗網(wǎng)論壇中，一份包含2.7億條記錄的“中國(guó)公民簡(jiǎn)歷數(shù)據(jù)庫(kù)”售價(jià)僅0.5比特幣。

我們又咨詢了數(shù)據(jù)安全相關(guān)專家，還原了這條黑色數(shù)據(jù)產(chǎn)業(yè)鏈的閉環(huán)商業(yè)邏輯。

“社工庫(kù)”（Social Engineering Database）實(shí)質(zhì)是黑客通過(guò)非法手段獲取的個(gè)人信息聚合庫(kù)。不同于普通數(shù)據(jù)庫(kù)，它采用“信息拼圖”模式：從電商平臺(tái)的購(gòu)物記錄、社交媒體的動(dòng)態(tài)軌跡，到酒店住宿的登記信息，各類碎片數(shù)據(jù)通過(guò)AI算法重組，最終形成完整的個(gè)人畫(huà)像。

第一步：數(shù)據(jù)采集

一般有3種方式進(jìn)行數(shù)據(jù)采集。撞庫(kù)攻擊：利用泄露的賬號(hào)密碼組合嘗試登錄其他平臺(tái)（2022年某視頻網(wǎng)站6.8億條數(shù)據(jù)泄露事件）。釣魚(yú)攻擊：偽裝成正規(guī)App/網(wǎng)站的惡意程序（2023年某政務(wù)平臺(tái)仿冒網(wǎng)站日均訪問(wèn)量達(dá)3萬(wàn)次）。內(nèi)鬼交易：如某快遞公司前員工曾以每條0.8元價(jià)格倒賣(mài)20萬(wàn)條客戶信息。

第二步：數(shù)據(jù)加工

專業(yè)“洗數(shù)”團(tuán)隊(duì)會(huì)對(duì)原始數(shù)據(jù)進(jìn)行：去重合并（消除重復(fù)信息）；時(shí)空關(guān)聯(lián)（通過(guò)Wi-Fi連接記錄還原活動(dòng)軌跡）；消費(fèi)畫(huà)像（分析支付記錄構(gòu)建消費(fèi)能力模型）。

第三步：精準(zhǔn)販賣(mài)

根據(jù)買(mǎi)家需求提供差異化服務(wù)：普通查詢：?jiǎn)未紊矸葑C反查收費(fèi)50元；深度調(diào)查：包含通訊錄+行蹤軌跡套餐收費(fèi)2 000元；定制服務(wù)：某商務(wù)咨詢公司曾購(gòu)買(mǎi)企業(yè)家全年行程監(jiān)控，年費(fèi)高達(dá)12萬(wàn)元。

狩獵和獵物

上當(dāng)受騙幾乎是所有初次接觸“社工庫(kù)”的人的必經(jīng)之路。小楷（化名）第一次使用“社工庫(kù)”就被騙了。他因?yàn)樵谀称脚_(tái)購(gòu)買(mǎi)一件物品，付完錢(qián)后不滿意，但對(duì)方不理他了。他很不甘心，于是想借助“社工庫(kù)”，查對(duì)方的地址，威脅一下對(duì)方。

他在某境外社交平臺(tái)隨意輸入“社工庫(kù)”，首先映入眼簾的就是一個(gè)有幾百人的“社工庫(kù)”群組。他翻了翻歷史聊天記錄，發(fā)現(xiàn)里面密密麻麻的都是一個(gè)個(gè)名字、一串串?dāng)?shù)字組成的手機(jī)號(hào)或者身份證號(hào)碼。

一個(gè)名為“深網(wǎng)·‘社工庫(kù)’”的人發(fā)來(lái)一條信息，還貼出一張查詢項(xiàng)目表。小楷表達(dá)訴求后，他回復(fù)可以查，需要220元。這個(gè)價(jià)格要便宜得多，但小楷并不太放心，問(wèn)了很多問(wèn)題，“深網(wǎng)”也很熱情地一一解答。但是當(dāng)小楷支付查檔費(fèi)用后，“深網(wǎng)”消失了，還刪除了群里的所有聊天信息。

在“社工庫(kù)”的暗網(wǎng)江湖里，沒(méi)有秩序，不尊重規(guī)則，也不推崇任何價(jià)值觀念，只有新的“叢林法則”—金錢(qián)掌控一切。所以，借助一定的方法騙到人，似乎成了值得稱頌的事。而受騙的人，在他們看來(lái)，又“蠢”又“麻瓜”，根本不值得同情。

2018年，李彥宏曾在中國(guó)發(fā)展高層論壇上說(shuō)，“中國(guó)人更加開(kāi)放或者說(shuō)對(duì)隱私問(wèn)題沒(méi)那么敏感，如果愿意用隱私來(lái)交換便捷性或者效率的話，很多情況下中國(guó)人是愿意這么做的?！边@一觀點(diǎn)盡管頗受詬病，但也暗示了巨頭們公開(kāi)搜集用戶數(shù)據(jù)的底層思維。

互聯(lián)網(wǎng)公司，本質(zhì)上都是一個(gè)大數(shù)據(jù)公司，它們借此訪問(wèn)了用戶爆炸級(jí)的數(shù)據(jù)，甚至借助大數(shù)據(jù)技術(shù)，進(jìn)行更多的商業(yè)探索和創(chuàng)新。譬如瀏覽商品的類目、對(duì)話使用的稱謂、訪問(wèn)頁(yè)面的時(shí)長(zhǎng)、搜索記錄等在它們那里變成了有價(jià)值的信息。它們根據(jù)用戶足跡搭建模型，揣摩我們的心理，預(yù)測(cè)我們的行為，甚至灌輸給我們思想，誘導(dǎo)我們改變行為。

2016年頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》雖然同意網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)用戶數(shù)據(jù)的收集、使用。前提卻有3個(gè)：平臺(tái)明示收集、使用信息的目的；經(jīng)用戶同意；收集的均是其提供服務(wù)有關(guān)的個(gè)人信息。

但在顧及商業(yè)創(chuàng)新的數(shù)據(jù)默許之上仍然有一個(gè)重要而無(wú)法回避的因素—人，只要有人在操控一切，信息泄露的風(fēng)險(xiǎn)就一直存在。

數(shù)據(jù)的流動(dòng)就像一條大河，我們都是水源。數(shù)據(jù)的應(yīng)用和隱私之間，根本就是悖論。無(wú)論是“開(kāi)盒”還是其他信息泄露，僅靠行政或者法律很難從根本上解決被惡性使用的問(wèn)題。我們還是應(yīng)該從自身出發(fā)，規(guī)范好自己的數(shù)據(jù)使用方式。

比如，重要的密碼一定要單獨(dú)設(shè)置，相互獨(dú)立，密碼每個(gè)季度強(qiáng)制更換。手機(jī)不輕易“越獄”，不輕易安裝未經(jīng)安全認(rèn)證的軟件。在處理舊手機(jī)時(shí)，一定要用專業(yè)軟件擦除數(shù)據(jù)。不使用公共Wi-Fi進(jìn)行支付操作，不在社交媒體上隨意發(fā)布帶定位的信息，快遞地址盡量只具體到某快遞柜。

數(shù)據(jù)安全可以先從自身做起。