百度副总裁女儿“开(kai)盒”事件,持续引发公众(zhong)对(dui)数据安全的担忧。百度近日连续发布声明称,“开(kai)盒”信息(xi)并(bing)非(fei)源自百度,而(er)是来自海外某加密聊(liao)天软(ruan)件。
“开(kai)盒”一(yi)词,意为违法获取并(bing)恶意公开(kai)他人个(ge)人信息(xi)。它最初流行于“饭圈”等群体,近年逐渐进入(ru)公众(zhong)视野。与之紧(jin)密相关的,是黑灰产(chan)团(tuan)伙四处兜售的“社工库”,以及猖獗的数据泄露“黑生意”。
什么是“社工库”
什么是“社工库”
所谓“社工库”,全称是“社会(hui)工程学数据库”。它不是某个(ge)特定的应用程序,也不是某个(ge)由指定组织建设(she)、维护的数据库,而(er)是不法分子通过攻击网(wang)站、欺诈用户等手段获取大量(liang)个(ge)人隐私数据,再整合分析、集(ji)中归档形成的一(yi)类资料集(ji)统称。
有(you)网(wang)络安全专(zhuan)家向南都(dou)研究员先容,早(zao)年间一(yi)些互联网(wang)平台、行业单位的网(wang)络数据安全保护能力不足,不法分子通过网(wang)络钓鱼、木马病毒、“内鬼”泄密等手段从(cong)多(duo)个(ge)渠道取得大量(liang)个(ge)人信息(xi)。这些信息(xi)经过整合处理后(hou),便(bian)形成包含个(ge)人身份信息(xi)、联系方式、账(zhang)号密码等的“社工库”,为黑灰产(chan)团(tuan)伙对(dui)目(mu)标(biao)企业或个(ge)人实(shi)施电信诈骗、威胁(xie)恐吓等提供精准的背(bei)景资料。
该(gai)专(zhuan)家表示,不法分子窃取的这些个(ge)人信息(xi)在黑灰产(chan)行业内经历(li)多(duo)次交易后(hou),几乎“人手一(yi)份”,难(nan)以继续出售牟利,于是被包装成“开(kai)盒神器”对(dui)一(yi)般人售卖(mai),榨干最后(hou)一(yi)分“商业价值”。“你(ni)把手机号、微博号、QQ号之类的线索发过去,对(dui)方拿着线索在数据库里搜索,匹配到的个(ge)人信息(xi)回传(chuan)给你(ni),‘开(kai)盒’成功,这就是背(bei)后(hou)的原理。”
“社工库”在哪(na)里
“社工库”在哪(na)里
为了(le)吸引流量(liang)、招徕顾客,这些掌握(wo)海量(liang)个(ge)人信息(xi)的“社工库”进入(ru)门槛并(bing)不高。以此次引发关注的百度副总裁女儿“开(kai)盒”事件为例,当事人通过国外手机应用市场下载某款加密聊(liao)天软(ruan)件,稍加搜索,便(bian)可加入(ru)某个(ge)提供“社工库”的群组。
南都(dou)研究员也循类似途径成功加入(ru)相关群组。调查发现,只需在群组内添加指定账(zhang)号,并(bing)按格式向该(gai)账(zhang)号提供“开(kai)盒”对(dui)象的姓名/手机号/邮箱/身份证号等任意一(yi)条资料,就可以获得相关个(ge)人信息(xi)。
“开(kai)盒”成本是多(duo)少呢(ne)?普通用户每天签到1次便(bian)可兑换(huan)1次个(ge)人信息(xi)查询机会(hui),通过邀请新(xin)用户等其他方式,也可获得更多(duo)查询次数。如果想(xiang)获得无限次查询服务(wu),则须支付(fu)70枚USDT(一(yi)种以1:1汇(hui)率(lu)与美(mei)元挂钩的虚(xu)拟(ni)货币),折合约507.5元人民币。
南都(dou)研究员留意到,由于邀请新(xin)人入(ru)群可以快速获得积分,换(huan)取更多(duo)免费(fei)的个(ge)人信息(xi)查询机会(hui)。因此,群组内几乎每时每刻都(dou)有(you)人发送其他“社工库”群组的邀请码,拉(la)客“引流”。通过相关邀请码,南都(dou)研究员先后(hou)加入(ru)了(le)5个(ge)不同“社工库”群组,其中规模最大的一(yi)个(ge)已有(you)超9.5万个(ge)用户,其他群组用户数量(liang)也在1万到5万不等。
此外,加密聊(liao)天软(ruan)件不是“社工库”及相关个(ge)人信息(xi)的唯(wei)一(yi)传(chuan)播渠道。调查过程中,南都(dou)研究员在一(yi)些互联网(wang)技术交流平台、个(ge)人博客网(wang)站也发现有(you)不法分子对(dui)外兜售“社工库”数据,有(you)的甚(shen)至还提供短信轰炸(zha)、电话轰炸(zha)等“配套服务(wu)”。
“社工库”数据从(cong)何而(er)来
“社工库”数据从(cong)何而(er)来
“社工库”到底包含哪(na)些数据?经同事授权,南都(dou)研究员按照“社工库”群组的指引,向指定账(zhang)号输入(ru)了(le)同事的手机号码,随即便(bian)收到一(yi)个(ge)文本文档,其中包含同事的姓名、身份证号、住址、个(ge)人微博链接等大量(liang)信息(xi),就连所读大学的名称、专(zhuan)业和学号都(dou)赫然在列。
另经多(duo)次尝试接触,某“社工库”群组管理员向南都(dou)研究员展示了(le)两张“社工库”原始数据记录的截(jie)图。两张截(jie)图均包含个(ge)人姓名、身份证号、手机、邮箱、住址、婚姻状(zhuang)况等内容;其中一(yi)张还附带个(ge)人名下车辆车型、车架号、发动机号等信息(xi);另一(yi)张则附带某知名保险企业的保单记录,包括保险产(chan)品名称、投保金额、保障期限等。
这些“社工库”掌握(wo)的个(ge)人信息(xi)为何如此详细(xi)?网(wang)络安全专(zhuan)家说明,黑灰产(chan)团(tuan)伙会(hui)通过整合多(duo)个(ge)数据源,拼凑出个(ge)人“超级档案”。例如,先通过某些违规手段获取用户手机号码等信息(xi),再与已泄露的数据库进行比对(dui),实(shi)现用户与泄露数据的一(yi)一(yi)对(dui)应。今年央视3·15晚会(hui)曝光的“大数据获客软(ruan)件”,就是通过不法手段海量(liang)窃取目(mu)标(biao)人群的消费(fei)习惯、手机号码等信息(xi)。或者,有(you)些用户在不同网(wang)站使用同一(yi)套账(zhang)户密码,黑灰产(chan)团(tuan)伙非(fei)法获取某一(yi)网(wang)站的用户账(zhang)户密码后(hou),以这些密码尝试批量(liang)登录其他网(wang)站,进而(er)获取该(gai)用户更多(duo)身份信息(xi),这种方式也被称为“撞(zhuang)库”。
而(er)随着近年互联网(wang)平台企业的安全防护措施不断完善(shan),“内鬼”泄密逐渐成为数据泄露的主要途径。2023年8月(yue),北京(jing)市高级人民法院曾(ceng)就侵犯公民个(ge)人信息(xi)犯罪案件审判情况召开(kai)新(xin)闻通报会(hui),指出买卖(mai)和交换(huan)是侵犯公民个(ge)人信息(xi)犯罪的主要手段;放眼整个(ge)犯罪链条,内部人员泄露信息(xi)是侵犯公民个(ge)人信息(xi)犯罪的主要源头。
在数个(ge)“社工库”群组中,南都(dou)研究员还发现:一(yi)些不法分子在吆喝着自己是“全网(wang)最全数据库”的同时,还在诚聘“长期合作”的“相关专(zhuan)业人士”。相关广告大多(duo)打出“日入(ru)过万”“快速变现”等宣传(chuan)语,诱惑企业关键岗位人员加入(ru),并(bing)宣称可一(yi)对(dui)一(yi)引导(dao)对(dui)方如何规避风险。更有(you)团(tuan)伙点名提出希翼与国内某知名银行的工作人员“合作”。
不法分子在“社工库”群组招募行业“内鬼”。
“社工库”为何难(nan)治理
“社工库”为何难(nan)治理
“社工库”的危害不局限于某一(yi)国家或某一(yi)类别人群。调查过程中,南都(dou)研究员收到多(duo)条不法分子兜售不同国家和地区个(ge)人信息(xi)的广告。从(cong)美(mei)国驾(jia)照,到印度银行贷款,再到俄罗斯税务(wu)记录,全球各地的海量(liang)敏(min)感个(ge)人信息(xi)在黑灰产(chan)团(tuan)伙之间被打包售卖(mai)和流转。
奇安信数据也显示,2024年全球公开(kai)报道的201起数据安全事件中,数据泄露事件为170起,占比高达84.6%,可确认的泄露数据超过122.7TB。
近年来,我国已出台《网(wang)络安全法》《数据安全法》《个(ge)人信息(xi)保护法》等一(yi)系列法律法规,警方和网(wang)信部门对(dui)非(fei)法贩卖(mai)个(ge)人信息(xi)利剑高悬,业界也持续完善(shan)用户数据安全的“护城墙”。
但网(wang)络安全专(zhuan)家也坦言,不少“社工库”内的数据经历(li)多(duo)次流转,可谓“人手一(yi)份”,已很难(nan)追(zhui)寻源头并(bing)封堵。此外,不少黑灰产(chan)团(tuan)伙在境(jing)外作案,“社工库”服务(wu)器也部署在境(jing)外,跨境(jing)打击难(nan)度较大。
河南泽(ze)槿律师事务(wu)所主任付(fu)建表示,如果他人在境(jing)外侵犯境(jing)内法人、自然人信息(xi),则涉嫌犯罪,根据我国刑法保护性原则,同样可以适用我国法律。鉴于境(jing)外信息(xi)泄露猖狂,公民可以向公安机关报案,公安机关可通过国际司法协助等途径开(kai)展调查。
侵犯个(ge)人信息(xi)案件不绝
侵犯个(ge)人信息(xi)案件不绝
数字化时代,个(ge)人信息(xi)保护与数据黑灰产(chan)治理是一(yi)项(xiang)长期性、系统性的工程。公开(kai)数据显示,2020年至2023年,全国公安机关累计侦破侵犯公民个(ge)人信息(xi)违法犯罪案件3.6万起,抓获犯罪嫌疑人6.4万名,其中抓获电信运营商、医院、保险企业、房地产(chan)、物(wu)业、快递企业等行业“内鬼”2300余(yu)名。今年3月(yue)18日,公安部门再次通报,2024年共侦破相关案件7000余(yu)起,重拳捣毁一(yi)批个(ge)人信息(xi)交易平台,抓获一(yi)批犯罪嫌疑人,并(bing)公布依法打击侵犯公民个(ge)人信息(xi)犯罪10起典型案例。
河北维则律师事务(wu)所黄远律师表示,我国《民法典》明确规定,自然人的个(ge)人信息(xi)受法律保护,任何组织或个(ge)人不得侵害。“开(kai)盒”行为严重侵犯了(le)他人的隐私权、名誉权等多(duo)项(xiang)人格权利,根据具体情节(jie),行为人可能面临民事赔偿、行政处罚(fa),甚(shen)至刑事责任。
黄远律师提到,查询他人隐私而(er)未公开(kai),该(gai)行为本身也游走在法律边缘,也有(you)潜在违法风险。在查询过程中,若(ruo)采用了(le)非(fei)法手段,如黑客技术、购买等,同样构成违法。此外,这种行为违背(bei)了(le)道德伦理和网(wang)络规范,为隐私泄露埋下隐患(huan),一(yi)旦信息(xi)被不当使用或意外泄露,将引发严重后(hou)果。他强调,隐私权是自然人享有(you)的对(dui)其个(ge)人的、与公共利益无关的个(ge)人信息(xi)、私人活动和私有(you)领(ling)域进行支配的一(yi)种人格权,查询他人隐私的行为属于刺(ci)探他人隐私,侵害了(le)他人的隐私权,违反了(le)《民法典》的相关规定。
出品:南都(dou)大数据研究院
采写:南都(dou)研究员 李伟(wei)锋 袁炯贤