3月20日,针对近期百度副(fu)总裁谢广(guang)军女儿的“开盒”事(shi)件,百度举行(xing)安全(quan)沟通会,正面解答了对这一事(shi)件的调查以及对事(shi)件中“开盒”信息来源的详细复盘。经调查,“开盒”信息来源于海外社交平台(tai)里一个名为“天网社工库”的群组,而(er)3月17日百度已经调查过谢广(guang)军在(zai)各项系统中的权限,并未发现其有数据访问(wen)记(ji)录(lu)。
新京报贝壳财经记(ji)者随后(hou)调查了该群组,发现其已经禁止(zhi)了发布信息的功能。但其所在(zai)的海外平台(tai)还存在(zai)诸多类似群组,有黑灰产从业者在(zai)群组中公开招揽拥有云(yun)搜、网安、银行(xing)等部门权限的内部人士。
那么,百度是否会成(cheng)为泄露用户信息的一方?对此,百度安全(quan)负责(ze)人陈洋告(gao)诉新京报贝壳财经记(ji)者,百度内部有严格的数据管理体系,防止(zhi)任何一个人泄露用户数据,“社工库中没有从百度泄露的数据,而(er)且大家也没有收到过任何这个方面的反馈。”
北京盈科(ke)(合肥)律师事(shi)务(wu)所合伙(huo)人姜万东律师告(gao)诉记(ji)者,网上“开盒”他人本质是非法获取、公开他人隐私并煽动网络暴(bao)力的违法行(xing)为,《民法典》第1032条(tiao)明确保护自然人隐私权,禁止(zhi)以刺探、泄露等方式(shi)侵害他人隐私。若“开盒”涉及身份证号、家庭住址等敏(min)感信息,即构成(cheng)对隐私权及个人信息权的直接侵犯。若信息包含侮辱性内容(如捏造丑(chou)闻、恶意P图),还可能进一步侵害名誉(yu)权、肖像(xiang)权等人格权。未成(cheng)年人参与“开盒”,监护人需承担赔偿责(ze)任。
▲百度安全(quan)负责(ze)人陈洋复盘事(shi)件调查结果
━━━━━
3月17日接到举报,当(dang)日成(cheng)立技术调查组
陈洋表示,百度在(zai)3月17日接到了针对“开盒”事(shi)件的举报,并在(zai)当(dang)日成(cheng)立了技术调查组,开展调查并审计了谢广(guang)军的系统日志(zhi),并在(zai)3月18日发布了排除谢广(guang)军泄露嫌疑的结论,同时定(ding)位了真实的泄露渠道。
“大家首先以有罪推定(ding)去(qu)假(jia)设谢广(guang)军可能做了什么,有没有权限做。在(zai)百度内部,想要访问(wen)数据,理论上一共只有三(san)个途径,第一是数据系统的访问(wen)权限,第二是登录(lu)有权限的服务(wu)器,三(san)是登录(lu)办公系统。”
“数据管理平台(tai)审计中心显示,谢广(guang)军没有任何数据权限,也没有数据访问(wen)记(ji)录(lu),服务(wu)器审计系统显示,谢广(guang)军在(zai)2024年10月1日至(zhi)2025年3月25日期间,没有登录(lu)过百度任何服务(wu)器。”陈洋表示,“另(ling)外,大家也查询了办公系统,虽然办公系统并不包含业务(wu)数据,但本着严谨的态度,大家也查询了他过去(qu)半年所访问(wen)的内部每一个系统,也未发现谢广(guang)军有任何异(yi)常访问(wen)行(xing)为。”
那么,本次开盒事(shi)件的数据是从哪(na)里泄露的呢?经过对被举报人即谢广(guang)军女儿的访谈,百度定(ding)位了海外平台(tai)上一家名为“天网社工库”的群组。
贝壳财经记(ji)者发现,在(zai)国内登录(lu)此类海外平台(tai)并不容易,但在(zai)国外门槛较低(di)。有技术专(zhuan)家表示,一方面,由于门槛低(di),海外未成(cheng)年人很容易受到此类平台(tai)的引导;另(ling)一方面,信息泄露行(xing)为以及“社工库”存在(zai)已久,不少信息较旧(jiu)的社工库中存储的个人信息甚至(zhi)已经被“倒手”多遍(bian),导致其查询成(cheng)本一降(jiang)再(zai)降(jiang),从历史上的5元至(zhi)200元查询一次,变成(cheng)了当(dang)前的允许用户一天免费查询两(liang)次,这导致了“开盒”门槛的进一步降(jiang)低(di)。
那么,百度的用户信息是否可能被纳(na)入这些“社工库”?陈洋介(jie)绍(shao),百度在(zai)用户个人信息注册阶(jie)段采用实时假(jia)名化处理,原(yuan)始数据单独加密隔离。同时,百度任何职级的员工及高管均无权碰触用户数据。
━━━━━
调查:社工库和“开盒”灰黑产存在(zai)多年 可通过微博查到全(quan)家户口簿
实际上,社工库以及与“开盒”相关(guan)的灰黑产存在(zai)已久。早在(zai)2020年,新京报贝壳财经记(ji)者就曾(ceng)在(zai)灰黑产群组上调查过数个社工库,其中最为火(huo)爆的社工库运作流程(cheng)甚至(zhi)已经完(wan)全(quan)“自动化”,记(ji)者只需要输入手机号,其就会自动导出(chu)带有部分星号遮挡的对应机主(zhu)真实姓名、所在(zai)地区、社交平台(tai)账号甚至(zhi)密码,记(ji)者经认识的人同意后(hou)进行(xing)测(ce)试,发现结果全(quan)部准确,而(er)若要购买上述信息,则需要用户进行(xing)“积分充值”。
时至(zhi)今日,此类黑灰产群组依然存在(zai),其中就包括百度在(zai)调查中提到的黑灰产群组“天网社工库”。
▲“天网社工库”界面 记(ji)者截图
3月20日下午5点15分,记(ji)者查找到了一家名为“天网社工库”的群组,发现其拥有5.5万名成(cheng)员并有192名成(cheng)员实时在(zai)线。其最近的一条(tiao)“开盒”查询发生(sheng)在(zai)3月20日凌(ling)晨(chen)2点13分,需求为根据手机号查询个人信息。
而(er)记(ji)者在(zai)另(ling)一家1.3万人的“社工库”群组发现,有大量用户在(zai)通过群组自动机器人进行(xing)免费信息查询服务(wu),只要花(hua)钱,还能挖掘出(chu)如名下房(fang)产、开房(fang)信息甚至(zhi)打胎记(ji)录(lu)等更多深入信息。另(ling)外,坐拥此类信息而(er)主(zhu)动寻找买家的黑灰产卖家也大量存在(zai)。
3月20日,记(ji)者在(zai)该海外平台(tai)发布了相关(guan)关(guan)键字,结果在(zai)5分钟之内就有三(san)家黑灰产向记(ji)者销售“开盒”服务(wu)。对此,记(ji)者试探性咨询了包括微博查人、身份证号码查户口簿等,对方均表示可以做到,但不同黑灰产的报价也波动极大,有150元至(zhi)400元的,也有高达3000元的。
而(er)在(zai)本次引发舆情的“开盒”案例中,用户在(zai)微博平台(tai)“吵架”是整个事(shi)件的起点。那么通过微博账号可以查到多少信息呢?对此,有黑灰产从业者向记(ji)者直白报价“微博查身份信息200元,包含姓名、年龄、户籍(ji)地址、照片、身份证号码、手机号。”
▲海外平台(tai)中黑灰产从业者向记(ji)者兜售“开盒”信息 记(ji)者截图
那么,社工库的信息是从何而(er)来的呢?记(ji)者在(zai)一家社工库发布的广(guang)告(gao)中找到了端倪。该广(guang)告(gao)称(cheng),“重金寻找内部人员”,包括云(yun)搜部门、网安部门、银行(xing)柜台(tai)、快递、民政部门等,并许诺月入数十万至(zhi)百万。
对此,姜万东表示,若“开盒”涉及贩卖或泄露大量隐私信息,甚至(zhi)可能触犯《刑(xing)法》第253条(tiao)之一,最高可处7年有期徒刑(xing)。2023年“两(liang)高一部”明确将组织“人肉搜索”纳(na)入此罪范畴。另(ling)外如果还捏造事(shi)实可能会涉嫌到侮辱罪、诽谤罪。
“如果国家机关(guan)或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定(ding),将本单位在(zai)履行(xing)职责(ze)或者提供服务(wu)过程(cheng)中获得的公民个人信息,出(chu)售或者非法提供给他人,情节严重的,依照前款的规定(ding)从重处罚。”姜万东说。
或许受近期“开盒”事(shi)件的影响,记(ji)者注意到当(dang)前有不少社工库暂停了服务(wu)。如记(ji)者在(zai)一个上万人的“查档”群组中看(kan)到其在(zai)3月20日发布了公告(gao)“社工库暂停使用,目前只有公安路线查询,恢复了会通知”。而(er)处于事(shi)件中心的“天网社工库”则设置了消息禁发,用户已经无法再(zai)免费查询信息。
“经过这次事(shi)件,大家也能感受到,互联网不是哪(na)一家企业把自己做好,就能保障用户安全(quan),而(er)是需要联合各界,一起守(shou)护环境。”陈洋说,他倡议,在(zai)相关(guan)政府主(zhu)管部门的引导下,成(cheng)立“反开盒”联盟,帮助(zhu)被开盒的网民。
文/罗亦丹 校对 柳宝庆
值班编辑 康嘻嘻