3月18日,百度安全负责人陈洋在公司内网就“副总谢广军女儿开盒事件”发表声明,称百度在数据安全设计上做了匿名化和权责分离,“谢广军完全没有相关数据库的任何权限”,该事件所涉个人信息泄露源头并非百度。3月19日晚,百度在对外声明中进行了再次强调。
公众的质疑没有被这份声明平息,匿名化能否真正阻断身份关联?权责分离机制能否让内鬼完全失去作祟的机会?关于这类疑问,公众无从确认。
根据南都记者的调查,在海外社群网站上,所谓的“社工库”机器人能够自动且免费地提供他人名字或手机号等基础信息。如果花上数百元,便能买到户籍截图、婚史记录、房产、银行卡流水、开房同住人员、学籍学历等信息。更让人脊背发凉的是,群里还公然散布着寻求与在银行、互联网公司等单位上班的人合作的广告帖。
我们的个人信息到底是怎么流出去的?
个人主动暴露是最平常的渠道。不管是快递盒上的地址、电话,还是社交媒体上分享的定位和生活细节,都可能在无意间泄露住址、行动轨迹、爱好、家庭关系、容貌等个人信息。近年来随着人们隐私保护意识的提高,不少人已经学会了谨慎透露个人信息,在互联网上做个“神秘人”。另外,个人主动暴露的信息终究是零散的,收集起来难免费力,要想做到像“社工库”这样大体量的信息收集,免不了用点非常手段。
网络平台系统并非铁板一块,黑客通过利用漏洞,能够大批量盗取用户数据,进而倒手卖给这条黑灰产业链的下游,经整合后,“社工库”的基本功能就成立了。来自奇安信的数据显示,2024年全年境内政企机构共发生个人信息泄露风险事件112起,涉及个人信息数据266.9亿条。以目前高度线上化的生活方式而言,个人生活、人际关系的全貌几乎可以被完整地拼凑出来。
相较于攻击系统,串通内鬼这个办法不存在多高的技术门槛。2020年7月,某快递企业员工私自向不法分子有偿出借工作账号,致使超过40万条公民个人信息泄露。内部员工或离职人员利用职务便利获取公民信息的事件时有发生,南都报道中提到的“招工”广告也能侧面证实这一点。那些只有内部员工才能调取的信息往往是极隐秘和重要的,背后必定存在员工权限过高、安全日志审核机制不足、流动人员权限回收滞后等隐患。
公民个人信息也就是在这些方式的运作下被一点一点地偷走。更要命的是,不法分子利用“社工库”做出的恶行显然不会止步于开盒网暴,掌握大量个人信息后,小到电话骚扰,大到诈骗、盗刷银行卡、被冒用信息形成失信甚至背负法律责任都会是信息泄露产生的蝴蝶效应。
人们如今常用“裸奔”来比喻个人信息的暴露程度,这句玩笑话透露着深深的无奈。企业必须本着“最小必要原则”收集用户数据、正视内部权限管理中的灰色地带;执法机关有必要建立跨国数据犯罪打击机制,严惩黑产参与者;作为公民,除了以“最小必要”在网络上传个人信息,更要将提升数字素养和伦理提上日程,厘清行为边界,坚决拒绝相关违法行为。我们都是“盒子里的人”,守好“钥匙”才能守住安全和尊严。
