13岁女孩“开盒”事件追踪
“百度副总裁谢广军女儿开盒事件”触动大众对个人信息保护的神经,一名13岁未成年人在网上多次“人肉开盒”一位孕妇,不仅恶意公开她的隐私信息,甚至进而引导和实施骚扰、造谣、辱骂等行为。
“潘多拉魔盒”被打开后,有人离开社交平台,有人被短信轰炸,有人被迫搬家……自从被“开盒”以后,很多人平静的生活都被迫脱离正轨,小可(化名)就是其中之一。
“我在网上帮被‘开盒’的孕妇发声,结果被两个网友恶意‘开盒’,其中一位就是后来被曝出的百度副总裁谢广军的女儿。”小可对《IT时报》记者表示,近10位受害者都被这两位网友“开盒”,大家正在各自报警,后续准备联合起诉维权。
从小可掌握的信息来看,另一位开盒者是吉林一所学校的学生。
“我是先报警还是直接起诉?如果当地警方不受理怎么办?是要起诉未成年人本人还是监护人?”高额的维权成本,让小可身心俱疲。
一个13岁未成年人怎能轻易“开盒”陌生网友?低龄化、饭圈化、素人化,叠加互联网大厂高管,让这场“开盒”事件闹得沸沸扬扬,一个隐藏已久的毒瘤“社工库”再次被暴露在阳光下。
300元可买到他人隐私信息
3月20日,百度召开“开盒”事件安全沟通会,表示“开盒”信息来自海外社工库,百度任何职级员工及高管均无权限触碰用户数据。
“人肉开盒”“开盒挂人”,是指利用非法手段获取并公开曝光他人隐私数据与信息,如姓名、住址、电话、照片、身份证号码等,最初来自网络贴吧、论坛等匿名平台,意思是“打开盒子揭露隐私”“把某人的信息在网上挂出来”。近年来,此类事件时有发生,甚至从信息曝光延伸为电话骚扰、网暴攻击、恐吓威胁等网络暴力违法犯罪行为。
一言不合就“开盒”,意见冲突就“人肉”……不少“开盒”事件背后牵涉未成年人,由于畸形的饭圈文化影响,“开盒”涉事者呈现低龄化趋势。
2023年,某视频平台通报一起“人肉开盒”案例。经公安机关查明,此次网暴侵权案件牵涉18个省份,共计40余人,当中的主要活动成员是两名未成年人。
而这个被打开的“潘多拉魔盒”,正是藏匿庞大个人隐私信息的“社工库”。
黑灰产从业者从各处收集、聚合的个人信息,通过用户名、姓名、邮箱、QQ号、微博ID等进行深度挖掘、归类,将这些信息与历史泄露信息进行串联,从而拼凑出一个庞大的隐私信息查询引擎,成为“人肉开盒”和信息商贩敛财的工具,俗称“社工库”。
安全团队网络尖刀创始人曲子龙透露,大部分“社工库”在某款境外即时通信软件上兜售。
《IT时报》记者在这款境外社交软件上搜索“开盒”“社工库”,发现多个相关公开群组,其中一个名为“天网社工库 查档 开房记录”的群组内有54600多名成员,为了显示其数据库的强大,“天网社工库”时不时会在群内公开“挂人”,公开某人的姓名、身份证号、身份证归属地、电话等信息,为了让信息看起来丰富好卖,他们还会利用已知隐私信息在算命网站上输出“星座”“生辰八字”“算命信息”等细节信息。
客服在群里指引群友点击“机器人”链接进行付费查询,500元包月无限下载查询,1000元包季度无限下载查询,2000元永久无限下载查询,最低300元起充,就能查到一套完整的他人隐私信息,包括具体的家庭地址、快递地址、车牌车主、开房记录等等。充值方式除了用USDT(泰达币)虚拟货币外,还支持支付宝、微信扫码支付。
从《IT时报》记者调查过程来看,这些社工库“机器人”的自动化程度较高,在线充值后,只需要确定查询类别,输入微博号、微信ID、手机号、QQ等已知信息,就可以直接获取到个人的其他隐私信息。
300元、几分钟,便能买来一个人的多维度隐私信息。
巨大的利益诱惑让黑灰产从业者铤而走险。最近,由于媒体铺天盖地的报道,个别“社工库”暂停运营,但依然有源源不断的社工库“机器人”被制造着,或者藏在黑暗、腐烂的地下。
“目前可监测到的暗网有3000多个,仅仅这一境外社交软件上查询到的机器人就有7000多个。”曲子龙透露。
《IT时报》曾报道,2018年,铁路12306的60万个账号和410万个联系人信息在暗网上被兜售,经实测部分数据可登录12306;2018年,万豪国际旗下喜达屋酒店发生庞大信息泄露,5年中,黑客在不惊动酒店和顾客的前提下,不断蚕食5亿顾客积分,可以确认其中3.27亿用户的出生日期、电子邮件地址、护照号码、性别、开房信息等均已泄露;两年后,万豪再度泄露520万用户信息。
一条黑灰产业链浮出水面,暗网是隐私泄露的“批发市场”,当然,还有更多隐私信息泄露发生在比暗网更深的地方。从暗网上购买的多维信息可以拼凑成一个“社工库”,进而在社交平台这个“大集市”上兜售。
需警醒的是,信息泄露不可逆,这些已泄露的庞大数据,被永久沉淀在“社工库”中。
泄露源头八成来自内鬼
王超(化名)曾在一家房地产信息科技公司就职,以每条几十至上百元的价格,出售房产状况及产权人信息数百条,后因非法出售公民个人信息罪被判处一年有期徒刑,警方查证发现,将这些个人信息泄露给王超所在公司的源头是某商业银行的工作人员。
串通内鬼是不法分子获取个人信息的惯用手段。2020年,某快递企业员工私自向不法分子有偿出借工作账号,致使超40万条公民个人信息泄露。
奇安信集团网络安全部对中国裁判文书网上2011年至2019年10月间所有与数据泄露相关的典型判例分析发现,数据泄露风险主要来自内部人员,大概占80%,因为身份的合法性,是数据安全监控体系最具挑战的部分。
“14亿中国人平均每人可泄露约19条个人信息数据。”CEATI联盟、数据安全事业部、奇安信等多方发布的《2024中国政企机构数据安全风险研究报告》显示,在境内政企机构数据泄露风险事件中,71.8%的事件涉及个人信息,可造成个人信息泄露数量多达266.9亿条。网盘、文库、代码托管等互联网知识共享平台是数据泄露的重要渠道之一,内部人员与合作伙伴是造成此类数据泄露事件的罪魁祸首。统计显示,数据在互联网知识共享平台上泄露的首要原因是内部人员泄露,占比32.3%;其次是合作伙伴泄露,占比23.7%;明确为外部攻击导致的数据泄露事件仅为5.0%。
近年来,我国对于出售、非法提供公民个人信息罪和非法获取公民个人信息罪的处罚越来越严格。
《中华人民共和国刑法》规定:情节严重的,处三年以下有期徒刑或拘役,并处或者单处罚金。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了定罪量刑标准,根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”,即属“情节特别严重”。
但对于系统运营者泄露数据的罚款力度并不大。
《中华人民共和国个人信息保护法》规定:若企业违反该法规定处理个人信息,或处理个人信息时未履行规定的保护义务,情节严重的,不仅会没收违法所得,还会处五千万元以下或者上一年度营业额百分之五以下罚款。
但在2024年公开报道中,处罚最高的几笔均为10万元,具体泄露数据量未公布。相比较而言,上述酒店巨头万豪泄露3.44亿人的信息泄露案,最终被罚5200万美元(约合人民币3.78亿元)。
“相比某些国家动辄数百万、上亿元的重锤式罚款,对于数据泄露的企业,中国监管机构往往只开出10万元以下的罚款,如果罚款远小于网络安全建设成本,那么运营者自然会选择碰碰运气,放弃网络安全投入。”奇安信集团行业安全研究中心主任裴智勇表示。
他提到,曾有一所高校因发生重大数据泄露事件,被判罚80万元,这家高校随即向很多安全公司咨询数据安全的建设方案,结果发现,各家安全公司给出的最低报价都要将近200万元,最终这所高校放弃了数据安全建设项目。
记者手记
守护信息安全
不应只是受害人的“孤军奋战”
2017年春节期间,一位朋友的父亲因肝癌不幸去世,原本已经哭到虚脱的母亲,却在殡仪馆接到婚介公司打来介绍对象的电话。亲人尸骨未寒,内鬼们却已将家属的信息出卖,但家属无法确定,也无力寻找内鬼出自哪一环。
这个事情发生后,我做了一篇调查报道《到底是谁卖了我的隐私?》,第一次深入了解“社工库”,而“白帽子”安全人员经过我的授权后,几分钟就买到了记者的个人隐私信息,深深地震撼了我。
彼时,在黑市里,5分钟就能搞到上千条银行账户信息,700元能买到一个人的行踪,包括开房、乘机等记录,只需要提供一个手机号就能搞定。
如今,10年过去,“社工库”改变阵地,在境外社交软件继续“肆意生长”,并通过饭圈将“魔爪”伸向三观尚未形成的低龄人群,让素人网友无辜受害。
如此恶劣,远超想象,我们不应再用一句麻木且无奈的“谁的个人信息不裸奔”一笔带过,以此姑息罪恶。
今年的央视315晚会上,同样呈现了惊心动魄的几幕:云企智能的获客软件会自动在选择的短视频平台上扫描评论区,一旦发现与标签词相关的评论,就会强行抓取这个用户的电话、微信账号等信息;启科科技可以通过运营商后台实时调取用户地理位置、消费能力、人生阶段等3800项标签。
每个人的信息,在这些爬虫和内鬼面前,被予取予求,而这些违法者付出的代价,还是不够高。
如今,无助的小可和其他受害者正准备集体诉讼,但即将面临的取证,便成为挡住她们的第一道门槛。
守护个人信息安全,不应该只是受害者的孤军奋战。当数据泄露成为系统性风险,每一个环节上的企业、机构和个人,都应该为此担责,而且需要更便捷、更坚决、更刚性的追责。否则,“开盒”有可能成为每个人被网络攻击的“盒武器”。
3月28日,据网信中国微信公众号消息,中央网信办、工业和信息化部、公安部、市场监管总局宣布联合开展2025年个人信息保护系列专项行动,其中一项重点是整治个人信息相关违法犯罪案件。四部门将聚焦网络借贷、求职招聘、出行购票、教育、医疗、旅游住宿等领域个人信息违法犯罪活动,通过暗网电报等境外渠道以及境内渠道违规售卖公民个人信息,以及个人信息泄露或被攻击窃取等违法犯罪案件开展治理。
排版:季嘉颖 图片:采访对象 奇安信 东方IC 来源:《IT时报》公众号vittimes
关注下方公众号,获取更多搞钱赛道!
