簽到1次，就可查1次他人的秘密？“社工庫”到底是什么

百度副總裁女兒“開盒”事件，持續(xù)引發(fā)公眾對數(shù)據(jù)安全的擔(dān)憂。百度近日連續(xù)發(fā)表聲明稱，“開盒”信息并非源自百度，而是來自海外某加密聊天軟件。

“開盒”一詞，意為違法獲取并惡意公開他人個人信息。它最初流行于“飯圈”等群體，近年逐漸進入公眾視野。與之緊密相關(guān)的，是黑灰產(chǎn)團伙四處兜售的“社工庫”，以及猖獗的數(shù)據(jù)泄露“黑生意”。

什么是“社工庫”

所謂“社工庫”，全稱是“社會工程學(xué)數(shù)據(jù)庫”。它不是某個特定的應(yīng)用程序，也不是某個由指定組織建設(shè)、維護的數(shù)據(jù)庫，而是不法分子通過攻擊網(wǎng)站、欺詐用戶等手段獲取大量個人隱私數(shù)據(jù)，再整合分析、集中歸檔形成的一類資料集統(tǒng)稱。

有網(wǎng)絡(luò)安全專家向南都研究員介紹，早年間一些互聯(lián)網(wǎng)平臺、行業(yè)單位的網(wǎng)絡(luò)數(shù)據(jù)安全保護能力不足，不法分子通過網(wǎng)絡(luò)釣魚、木馬病毒、“內(nèi)鬼”泄密等手段從多個渠道取得大量個人信息。這些信息經(jīng)過整合處理后，便形成包含個人身份信息、聯(lián)系方式、賬號密碼等的“社工庫”，為黑灰產(chǎn)團伙對目標(biāo)企業(yè)或個人實施電信詐騙、威脅恐嚇等提供精準(zhǔn)的背景資料。

該專家表示，不法分子竊取的這些個人信息在黑灰產(chǎn)行業(yè)內(nèi)經(jīng)歷多次交易后，幾乎“人手一份”，難以繼續(xù)出售牟利，于是被包裝成“開盒神器”對一般人售賣，榨干最后一分“商業(yè)價值”?！澳惆咽謾C號、微博號、QQ號之類的線索發(fā)過去，對方拿著線索在數(shù)據(jù)庫里搜索，匹配到的個人信息回傳給你，‘開盒’成功，這就是背后的原理?！?h3>“社工庫”在哪里

為了吸引流量、招徠顧客，這些掌握海量個人信息的“社工庫”進入門檻并不高。以此次引發(fā)關(guān)注的百度副總裁女兒“開盒”事件為例，當(dāng)事人通過國外手機應(yīng)用市場下載某款加密聊天軟件，稍加搜索，便可加入某個提供“社工庫”的群組。

筆者也循類似途徑成功加入相關(guān)群組。調(diào)查發(fā)現(xiàn)，只需在群組內(nèi)添加指定賬號，并按格式向該賬號提供“開盒”對象的姓名/手機號/郵箱/身份證號等任意一條資料，就可以獲得相關(guān)個人信息。

“開盒”成本是多少呢？普通用戶每天簽到1次便可兌換1次個人信息查詢機會，通過邀請新用戶等其他方式，也可獲得更多查詢次數(shù)。如果想獲得無限次查詢服務(wù)，則須支付70枚USDT（一種以1：1匯率與美元掛鉤的虛擬貨幣），折合約507.5元人民幣。

筆者留意到，由于邀請新人入群可以快速獲得積分，換取更多免費的個人信息查詢機會。因此，群組內(nèi)幾乎每時每刻都有人發(fā)送其他“社工庫”群組的邀請碼，拉客“引流”。通過相關(guān)邀請碼，筆者先后加入了5個不同“社工庫”群組，其中規(guī)模最大的一個已有超9.5萬個用戶，其他群組用戶數(shù)量也在1萬到5萬不等。

此外，加密聊天軟件不是“社工庫”及相關(guān)個人信息的唯一傳播渠道。調(diào)查過程中，研究員在一些互聯(lián)網(wǎng)技術(shù)交流平臺、個人博客網(wǎng)站也發(fā)現(xiàn)有不法分子對外兜售“社工庫”數(shù)據(jù)，有的甚至還提供短信轟炸、電話轟炸等“配套服務(wù)”。

“社工庫”數(shù)據(jù)從何而來

“社工庫”到底包含哪些數(shù)據(jù)？經(jīng)同事授權(quán)，研究員按照“社工庫”群組的指引，向指定賬號輸入了同事的手機號碼，隨即便收到一個文本文檔，其中包含同事的姓名、身份證號、住址、個人微博鏈接等大量信息，就連所讀大學(xué)的名稱、專業(yè)和學(xué)號都赫然在列。

另經(jīng)多次嘗試接觸，某“社工庫”群組管理員向研究員展示了兩張“社工庫”原始數(shù)據(jù)記錄的截圖。兩張截圖均包含個人姓名、身份證號、手機、郵箱、住址、婚姻狀況等內(nèi)容；其中一張還附帶個人名下車輛車型、車架號、發(fā)動機號等信息；另一張則附帶某知名保險企業(yè)的保單記錄，包括保險產(chǎn)品名稱、投保金額、保障期限等。

這些“社工庫”掌握的個人信息為何如此詳細(xì)？網(wǎng)絡(luò)安全專家解釋，黑灰產(chǎn)團伙會通過整合多個數(shù)據(jù)源，拼湊出個人“超級檔案”。例如，先通過某些違規(guī)手段獲取用戶手機號碼等信息，再與已泄露的數(shù)據(jù)庫進行比對，實現(xiàn)用戶與泄露數(shù)據(jù)的一一對應(yīng)。今年央視3·15晚會曝光的“大數(shù)據(jù)獲客軟件”，就是通過不法手段海量竊取目標(biāo)人群的消費習(xí)慣、手機號碼等信息?；蛘?，有些用戶在不同網(wǎng)站使用同一套賬戶密碼，黑灰產(chǎn)團伙非法獲取某一網(wǎng)站的用戶賬戶密碼后，以這些密碼嘗試批量登錄其他網(wǎng)站，進而獲取該用戶更多身份信息，這種方式也被稱為“撞庫”。

而隨著近年互聯(lián)網(wǎng)平臺企業(yè)的安全防護措施不斷完善，“內(nèi)鬼”泄密逐漸成為數(shù)據(jù)泄露的主要途徑。2023年8月，北京市高級人民法院曾就侵犯公民個人信息犯罪案件審判情況召開新聞通報會，指出買賣和交換是侵犯公民個人信息犯罪的主要手段；放眼整個犯罪鏈條，內(nèi)部人員泄露信息是侵犯公民個人信息犯罪的主要源頭。

在數(shù)個“社工庫”群組中，研究員還發(fā)現(xiàn)：一些不法分子在吆喝著自己是“全網(wǎng)最全數(shù)據(jù)庫”的同時，還在誠聘“長期合作”的“相關(guān)專業(yè)人士”。相關(guān)廣告大多打出“日入過萬”“快速變現(xiàn)”等宣傳語，誘惑企業(yè)關(guān)鍵崗位人員加入，并宣稱可一對一指導(dǎo)對方如何規(guī)避風(fēng)險。更有團伙點名提出希望與國內(nèi)某知名銀行的工作人員“合作”。

“社工庫”為何難治理

“社工庫”的危害不局限于某一國家或某一類別人群。調(diào)查過程中，研究員收到多條不法分子兜售不同國家和地區(qū)個人信息的廣告。從美國駕照，到印度銀行貸款，再到俄羅斯稅務(wù)記錄，全球各地的海量敏感個人信息在黑灰產(chǎn)團伙之間被打包售賣和流轉(zhuǎn)。

奇安信數(shù)據(jù)也顯示，2024年全球公開報道的201起數(shù)據(jù)安全事件中，數(shù)據(jù)泄露事件為170起，占比高達84.6%，可確認(rèn)的泄露數(shù)據(jù)超過122.7TB。

近年來，我國已出臺《中華人民共和國網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等一系列法律法規(guī)，警方和網(wǎng)信部門對非法販賣個人信息利劍高懸，業(yè)界也持續(xù)完善用戶數(shù)據(jù)安全的“護城墻”。

但網(wǎng)絡(luò)安全專家也坦言，不少“社工庫”內(nèi)的數(shù)據(jù)經(jīng)歷多次流轉(zhuǎn)，可謂“人手一份”，已很難追尋源頭并封堵。此外，不少黑灰產(chǎn)團伙在境外作案，“社工庫”服務(wù)器也部署在境外，跨境打擊難度較大。

河南澤槿律師事務(wù)所主任付建表示，如果他人在境外侵犯境內(nèi)法人、自然人信息，則涉嫌犯罪，根據(jù)我國刑法保護性原則，同樣可以適用我國法律。鑒于境外信息泄露猖狂，公民可以向公安機關(guān)報案，公安機關(guān)可通過國際司法協(xié)助等途徑開展調(diào)查。

侵犯個人信息案件不絕

數(shù)字化時代，個人信息保護與數(shù)據(jù)黑灰產(chǎn)治理是一項長期性、系統(tǒng)性的工程。公開數(shù)據(jù)顯示，2020年至2023年，全國公安機關(guān)累計偵破侵犯公民個人信息違法犯罪案件3.6萬起，抓獲犯罪嫌疑人6.4萬名，其中抓獲電信運營商、醫(yī)院、保險公司、房地產(chǎn)、物業(yè)、快遞公司等行業(yè)“內(nèi)鬼”2300余名。今年3月18日，公安部門再次通報，2024年共偵破相關(guān)案件7000余起，重拳搗毀一批個人信息交易平臺，抓獲一批犯罪嫌疑人，并公布依法打擊侵犯公民個人信息犯罪10起典型案例。

河北維則律師事務(wù)所黃遠律師表示，我國《民法典》明確規(guī)定，自然人的個人信息受法律保護，任何組織或個人不得侵害?！伴_盒”行為嚴(yán)重侵犯了他人的隱私權(quán)、名譽權(quán)等多項人格權(quán)利，根據(jù)具體情節(jié)，行為人可能面臨民事賠償、行政處罰，甚至刑事責(zé)任。

黃遠律師提到，查詢他人隱私而未公開，該行為本身也游走在法律邊緣，也有潛在違法風(fēng)險。在查詢過程中，若采用了非法手段，如黑客技術(shù)、購買等，同樣構(gòu)成違法。此外，這種行為違背了道德倫理和網(wǎng)絡(luò)規(guī)范，為隱私泄露埋下隱患，一旦信息被不當(dāng)使用或意外泄露，將引發(fā)嚴(yán)重后果。他強調(diào)，隱私權(quán)是自然人享有的對其個人的、與公共利益無關(guān)的個人信息、私人活動和私有領(lǐng)域進行支配的一種人格權(quán)，查詢他人隱私的行為屬于刺探他人隱私，侵害了他人的隱私權(quán)，違反了《民法典》的相關(guān)規(guī)定。