“开盒”一词意为
违法获取并恶意公开他人个人信息
它最初流行于“饭圈”
近日随着
“百度副总裁13岁女儿‘开盒’”事件
迅速进入公众视野
随着这一词汇共同浮出水面的
还有猖獗的数据泄露“黑生意”
3月19日,百度官方就“谢广军女儿开盒”事件发布声明,称百度内部实施了数据的匿名化、假名化处理,任何职级的员工及高管均无权限触碰用户数据,副总裁谢广军女儿开盒他人的信息并非源自百度。
声明中称,经过调查,“开盒”信息来自海外的社工库——一个通过非法手段收集个人隐私信息的数据库。针对相关网络谣言,公司已向公安机关报案。
百度将数据泄露源头指向海外Telegram电报群的社工库。那么,什么是“社工库”?
谷安天下安全牛分析师张琰珺介绍,“社工库”的全称是“社会工程学数据库”,这是一种非法收集并整理了大量个人隐私信息的数据库。只要愿意交钱,就能查到更多隐秘的个人信息,包括个人户籍、婚史记录、身份证正反面、名下房产、银行卡流水、开房同住人员、出入境、个人轨迹、学籍学历等。
记者调查发现,加入相关“查档业务”的搜索群后,按格式在群内任意发出姓名/手机号/邮箱/身份证号等资料,就可以搜索到相关个人信息。而如此敏感的个人信息就这样被打包为“查档业务”公开售卖。
记者入群后收到的内容 图片来源:手机截图
查询费用是多少呢?“包月无限下载”的价格为500元人民币,包季度为1000元,永久无限查询只需2000元。记者还注意到,该社群当月有超过6万名用户。“病毒式传播”是电报群群组得以生存的方式。除充值获取积分外,通过每日在群内打卡签到、邀请新人入群的方式均可获得积分(1积分可查一次。普通人进群后可以先用免费的积分体验,积分用完后需要进行充值)。记者注意到,群友通过留言邀请人数达到一定额度,甚至可以获得现金奖励。
记者在群内看到的信息 图片来源:手机截图
除了机器人查询外,群内还有高级人工查询,可以获得更为敏感的个人信息,比如花150元就可以获得某人“大头照”“户籍地”。
“知道创宇”公司产品负责人张永波告诉记者,海外黑灰产组织会通过整合多个数据源,拼凑出个人“数字档案”。例如,先通过某些违规App获取用户手机唯一的硬件编码,即IMEI/MEID(国际移动设备识别码),再用这个编码在已泄露的数据库中进行比对。又例如,有的用户在许多网站中使用同一套账户密码,黑灰产组织利用这点,非法入侵一些合法网站拿到这些用户的账户密码,之后以这些密码尝试批量登录其他网站,进而获取该用户更多身份信息,这种方式也被称为“撞库”。
19日,360公司安全专家表示,海外信息窃取的技术手段多样且隐蔽,从网络钓鱼到供应链攻击,再到暗网数据交易。案例显示,这些技术手段不仅威胁个人隐私,还可能对企业和国家安全造成严重影响。防御需要技术、管理和教育多管齐下,才能有效应对这些威胁。张琰珺也表示,从网络安全领域从业者的角度来看,近年来全球信息泄露的事件明显增多。无论是企业被勒索、个人遭App监听以及网络“开盒”,都给企业和个人带去了经济上、精神上的复杂且恶劣的影响。
近年来,国家陆续出台了一系列相关法律法规保障数据安全。例如,2021年颁布《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,2022年出台《数据出境安全评估办法》,2023年成立国家数据局。张琰珺表示,随着国家对数据泄露的封堵和法律要求,近3~5年来,网络安全厂商纷纷加大在数据安全方面的投入。
河南泽槿律师事务所主任付建表示,如果他人在境外侵犯境内法人自然人信息,且涉嫌犯罪,根据我国刑法保护性原则,同样可以适用我国法律。境外信息泄露猖狂,公民可以向公安机关报案,公安机关可通过国际司法协助等途径开展调查。不过,付建也表示,我国警察在境外没有执法权,只能通过司法协助进行,权益保护难到位。国际协作是常见的解决方式。据360公司安全专家介绍,2021年国际刑警组织联合多国执法机构,成功捣毁了一个全球性的网络犯罪团伙。
个人信息保护
是一场没有硝烟的战争
为了避免可能存在的伤害
日常生活中也需要保持警惕
理性安全地使用网络
守好个人隐私和安全
只有坚定共识,一起努力
才能构建起坚不可摧的
个人信息保护防线
互联网新闻信息服务许可证编号:23120170003
