一場由“開盒”引發的輿論風暴,將網際網路個人資料安全推至公眾視野的焦點。
3月20日下午,百度大廈一間會議室裡,百度安全負責人陳洋穿了一件印有“很安全”的工服,詳細還原了“開盒”事件的調查經過,並復現了海外網際網路開盒洩露的路徑。
在現場,陳洋還展示了經三方公證的“(2025)京精誠內經證字第 1642號”公證書。他再次表示,百度任何職級的員工及高管均無許可權觸碰使用者資料。
對抗“開盒”等黑灰產的背後,資料安全防護絕非各自為戰的“孤島”。陳洋表示,“開盒”不能成為網路攻擊的“盒武器”,築牢網路安全防線的背後,需要行業共同維護清朗的網路空間。百度倡議,在有關政府部門的指導下,百度願意積極響應和倡議推進“反開盒”聯盟的成立。
百度現場還原“開盒”調查過程
此前百度安全部門披露,在調查過程中發現,開盒資訊並非源自百度,而是來自海外的社工庫。在這背後,百度究竟是如何進行員工內部調查並追蹤到開盒資訊來源的?
陳洋告訴記者,百度安全部門 3月17日接到內部舉報啟動事件調查,成立技術調查組對被舉報人進行調查,調查組成員來自與謝廣軍沒有業務關聯的獨立調查員。
百度的內部調查過程遵循“有罪推論”,假設被舉報人可能存在違規行為,並透過審計資料管理平臺許可權、伺服器登入記錄及辦公系統訪問日誌三類資料途徑進行全面排查。
調查組核實查證後,確認被舉報人沒有百度使用者資訊的資料許可權,也未登入任何百度資料庫與伺服器,最終排除了其洩露資料的嫌疑,確認開盒資訊並非從百度洩露。
那麼,資訊洩露到底出自何處?
透過多方確認, “開盒”行為源自境外社交平臺(如Telegram群組)中傳播的“社工庫”。調查組依據線索,鎖定涉事社工庫網站,發現其介面設計、資料展示格式(如帶特定圖示的表格)與社交媒體流傳的截圖完全一致,初步驗證了洩露資料的關聯性。
作為“人肉開盒”行為的重要工具之一, “社工庫”全稱為“社會工程學資料庫”,是駭客透過攻擊網站、欺詐使用者等手段獲取大量個人隱私資料,如駭客透過拖庫(獲取網站資料庫)、撞庫(利用已洩露的賬號密碼嘗試登入其他網站)等手段獲取大量使用者隱私資料,再將收集到的個人資訊進行整理和歸檔,形成一個龐大的資料庫。透過社工庫,攻擊者可以查詢到目標人物的詳細資訊,並用於人肉開盒、網路暴力、詐騙等非法活動。
社工庫的查詢門檻極低:使用者無需身份驗證,僅需透過海外網路環境訪問,即可透過免費試用或小額付費(如虛擬貨幣)獲取查詢許可權。部分平臺甚至設定“簽到積分”機制,進一步降低操作成本。
在Telegram上,記者看到有提供開盒服務的賬號列出了包括從身份證資訊到戶籍、婚姻記錄、出入境記錄、外賣住址、名下資產流水等50多項使用者隱私資訊,只要使用者充值足夠金額都可獲取。
一位提供開盒服務的使用者表示,包括抖音、快手、b站、小紅書等國內主流社交網路平臺上的使用者都可以“開盒” 。大部分隱私資訊如姓名、身份證號、戶籍地址、學歷學籍、開房記錄、三網電話,甚至親屬的相關隱私資訊等都在“業務範圍”內。
百度安全調查團隊按照被舉報人複述的路徑,查詢確認到相對應的資料,這一復現過程在北京精誠公證處的公證下完成。
調查還發現,部分境外社工庫網站因媒體報道暫時關閉。
同時 ,針對“開盒事件”發生後在網上流傳的“當事人承認家長給她資料庫”截圖,百度核實後發現,該截圖的資訊內容不實,其原意為博主收到家人紅包後,在平臺曬出紅包截圖,博主回覆“我家長給的”,本意是想說明紅包的來源,與“開盒”無關。據核實,事件發生後的大量傳播資訊均為不實。
20多年從沒發生過資料洩露
開盒事件引發了公眾對網路安全和個人隱私保護的廣泛關注。作為科技企業,百度如何保證使用者隱私等個人資訊安全?
陳洋首次系統披露了百度的資料安全防護機制。他表示,在針對使用者個人資訊安全防範機制建設上,百度內部透過假名化、許可權分離、統一管控等機制實現無死角資料安全風險防護。
例如,在使用者註冊時即啟動假名化處理,將真實資訊轉化為唯一加密ID,業務系統僅使用假名操作,實現業務系統與敏感資料的物理隔離。
陳洋介紹,所有使用者的敏感資訊會進行加密,這樣保證業務系統觸碰不到使用者的資訊。即使拿到了使用者的資訊,也是一串字元,因為加密的系統和金鑰的管理在另外的地方,而業務系統還會再對它的資料做另外的加密。
系統許可權設計進一步強化了制衡邏輯。“也就是說我們有兩把‘鑰匙’,第一把是管理使用者敏感資訊的鑰匙,第二把鑰匙是業務資料加密的鑰匙。這兩把鑰匙是在不同的部門中由不同的人去掌管的,從而形成了這樣的許可權分離。”陳洋說。
陳洋提到,在百度內部,職級越高監管越難,高管申請許可權賬號還需要他的主管去審批,就更難了。更重要的是通常高管沒有這些資料需求。
此外,百度遵循國際公認的風險控制理念,建立三道安全防線:一是基礎防守”,不斷在公司內透過攻防演練進行預防、二是安全部門制度、能力、風險專項,進行預防和安全檢查、三是稽查與內部審計、職業道德建設部等,定期對異常訪問等敏感行為,進行稽核及內部審計。
據介紹,網盤資料在百度與使用者身份資訊資料一併認定為最高密級資料,進行嚴格保護。
陳洋還介紹,在使用者隱私保護方面,百度推行全員安全意識培訓,新員工入職需透過安全考試,每年開展“安全宣傳月”及每月釣魚演練。
陳洋表示,技術層面,百度參與共創了國內外80餘項安全標準,透過個人資訊保護認證(PIP)及資料安全管理認證(GSM)等權威資質。百度也是國內首家資料安全能力成熟度4級認證的企業。
他還透露,百度一直在進行漏洞獎勵,邀請各界安全的專家幫助百度不斷去完善相關技術。
“20 多年來,百度從來沒有發生過資料洩露的事件。”陳洋對記者說,這就是因為有這樣長期運營的機制來保障的。
“反開盒”需要行業聯動
對於普通使用者,如何保護自己的隱私?
陳洋建議使用者謹慎分享個人資訊,尤其是在社交媒體和其他網路平臺上,避免洩露真實身份資訊。其次要妥善設定許可權。例如,將朋友圈設定為僅好友可見,限制陌生人檢視自己的微博內容等。在安裝應用程式時,仔細檢視並謹慎授予應用所需的許可權,避免授予不必要的許可權,如位置資訊、通訊錄、攝像頭、麥克風等許可權。
而對於點選來路不明的連結,使用者不要隨意點選,以防進入釣魚網站或感染惡意軟體,導致個人資訊被盜取。
陳洋還建議使用者採用多樣化網名與密碼策略,在不同平臺儘量使用不同的賬戶名和密碼,在遊戲中或其他網路社群中,保持匿名或使用暱稱,減少被搜尋到的可能性。以及避免使用簡單容易猜到的密碼,如姓名縮寫、生日、電話號碼等。
此外,使用者還需提高警惕意識:不輕易相信陌生人的請求和資訊,對於一些不明來源的調查、問卷、抽獎等活動要保持警惕,避免因貪圖小便宜而洩露個人資訊。
事實上,“開盒”難根治,原因在於涉及產業鏈環節過多,從個人資訊的洩露路徑來看,已然形成了一條灰色的產業鏈。在鏈條中,有專門從事個人資訊收集和洩密源團體和個人,也有專門向洩密源團體購買個人資訊資料的中間商,向有需求者買賣、共享並傳播各種個人資訊資料庫,還有專門從中間商團體購買個人資訊,並實施各種犯罪的個人和團體。他們之間的交易涉及境外應用,支付環節除了微信、支付寶外,還涉及USDT等虛擬貨幣。
這意味著,“反開盒”需要平臺側、監管側共同努力,需要持有資料的機構進行重投入進行維護,不是朝夕間可解決的問題。
現場,百度表示,在有關政府部門的指導下,百度願意積極響應和倡議推進“反開盒”聯盟的成立,給受害人提供相應的技術支援,共同加強資料隱私防護。清除洩露資訊並監測共享黑產動態,嚴厲打擊非法資料竊取及洩露行為。
但聯盟的落地,還面臨技術標準能否統一、資料共享邊界等挑戰。例如各平臺的資料加密演算法、許可權管理體系不同,如何實現跨系統風險預警,一家企業是否願意為別人的安全投入資源等等。“這需要相關部門牽頭,建立合作框架,讓安全從‘成本項’變為‘競爭力’。”一位從業者對記者表示。