13歲副總裁之女如何開盒？我臥底外網黑產群找到答案

最近，有關“開盒”的事件鬧得沸沸揚揚。

互聯(lián)網上的“開盒”，通常指將一個人的互聯(lián)網身份剝去，露出一切真實的信息——盡管有些信息是隱私的。開盒者會將這些信息公之于眾，并時常引發(fā)一系列事件。光是近期相關的，就有“百度副總裁之女開盒網暴事件”“2000 多名博主隱私被境外群傳播”等等。

無論這些事件是否最終會導向網絡暴力乃至更惡劣的情況，這樣的行為都無疑是對隱私權的一種侵犯。同樣，在近期的焦點訪談上，也明確了開盒行為的惡劣性。這不禁令人思索：開盒為何如此簡單而又普遍？而往更深處去想，則是：這些隱私信息究竟是如何泄露出去的？我的隱私是不是也有泄露的風險呢？

當前，已經有不少人知道了“開盒”這件事?？蓪Υ蟛糠秩藖碚f，“盒武器”仍像是“核武器”一樣，神秘莫測，難以理解。即便知曉“社工庫”等黑產的存在，也無法將隱私信息的整個傳播流程厘清。

于是，為了徹底查明這些隱私信息究竟從何泄露，是如何不斷流傳，最終又是怎樣被他人利用，以及這些隱私泄露究竟來自怎樣的一條黑色產業(yè)鏈，我展開了相應的調查研究，并潛伏在多個外網開盒黑產群中，收集相關信息。這些群組形態(tài)各異，有的竭盡所能招攬“客源”，有的想要維持“小圈子”的獨特性，但讓他們聚集在一起的，無一例外全是那些本不應該被廣而告之的個人信息，與圍繞其上的種種利益。

在某個小群中，甚至有人上傳了焦點訪談關注開盒事件的視頻

首先，讓我來介紹一下如今的“開盒”從何而來。

在早些年間，通過互聯(lián)網手段收集一個人的信息，往往被稱作“人肉搜索”。

2006年2月28日，一位網民上傳了一組虐貓視頻，血腥程度恐怕要讓如今的愛貓TV望之項背，不少憤怒的網友想要查出視頻中虐貓者的身份，甚至有人下達了懸賞令。短短6天之內，虐貓者的真實身份就被網友們通過“對照附近景物”“網絡查詢賬號”等方式曝光出來——直到如今，這些方式有時也仍在奏效。這便是轟動一時的“高跟鞋虐貓事件”。

而這個人肉的過程，就是“社會工程學”

何為社會工程學？廣義上來講，就是通過利用各種自然的、社會的和制度上的途徑來逐步解決各種復雜的社會問題。舉個例子，穿著工作服扛起人字梯，就能讓你進入一些本不該讓非工作人員進入的區(qū)域，這就是簡單的社會工程學。社會工程學是一種研究人性弱點的黑客手法，當你想尋找一個人的時候，假冒成這個人的朋友并向其他人打探消息，就很有可能達成找人的目的——正如某些賬號交易平臺在線下打擊“找回狗”的尋人環(huán)節(jié)一樣。

但隨著互聯(lián)網的發(fā)展，人們與互聯(lián)網的接觸愈發(fā)增多，更多的個人信息被收集到互聯(lián)網上，也讓通過網絡上的社會工程學查明一個人的身份信息，變得更為容易。社會工程學在網絡上迅速發(fā)展，匯總各種個人信息，用于社會工程學查詢的數據庫，便是“社會工程學數據庫”，簡稱“社工庫”。通過“社工庫”，“人肉搜索”變得更加容易，也更惡劣。

早在2020年1月，國家互聯(lián)網信息辦公室發(fā)布的《網絡信息內容生態(tài)治理規(guī)定》中，就已經明確表示網絡信息內容服務使用者和生產者、平臺不得開展網絡暴力、人肉搜索、深度偽造、流量造假、操縱賬號等違法活動。但提供社工庫服務的人，往往肉身位于海外，使用的軟件也是國外加密軟件，導致始終無法徹底禁絕。而隨著互聯(lián)網的整體風向朝著抽象與暴戾一去不復返，“人肉搜索”也從類似“我去esu啊”這樣的小圈子，泛化到了更廣泛的互聯(lián)網群體中，最終變成了“開盒”這一不少網民隨手就能放出來的小技能。

可是，“開盒”的信息又是從何而來的呢？人肉搜索也好，社工庫也罷，他們也只是結果，如果僅僅將目光放在鏈條的最后一環(huán)上，那我們仍無法去思考究竟要如何保護自己的個人隱私信息。所以，必須從源頭說起——這就要詳細聊一聊在如今的互聯(lián)網上，我們的個人信息都會從什么渠道流出了。在這一部分，我會舉出許多可能會令你的身份信息流出的敏感行為，這是有必要的——你可以通過自查來規(guī)避已經出現的風險。

首先，最為明顯的信息便是某些公開信息。各種官方網站、古早的社交平臺等，只要一個網民曾在這些公開平臺上留下個人信息，便足以被有心之人查詢到，并通過登錄地、歷史發(fā)言、ID等手段，將一個人的網上發(fā)言與線下身份統(tǒng)一。定位了社交賬號，便可以得知一個人曾經在網絡上都說過什么——致敬傳奇科幻作家Shipship。

即便有些內容被刪除，可各種鏡像網站的存在仍為這一點提供了便利，比如此前的某起（很多起）虛擬偶像開盒事件中，就有人使用某微博鏡像網站進行相關資料的查詢（出于隱私與信息保護原因，具體案例不詳細描述，下同）。除了鏡像網站外，采用爬蟲技術自動抓取互聯(lián)網信息的各類“歷史發(fā)言查詢”網站，同樣也能讓他人輕松“查成分”。

這一類需要手動查詢進行“開盒”的公開與半公開信息，并未徹底涉及一個人的個人隱私，更像是一種“視奸”，雖然有可能將現實身份與互聯(lián)網身份統(tǒng)一起來，但也不包含那些諸如手機號、身份證號等不能在網絡上輕易查詢到的隱私信息，早期的人肉搜索往往就局限于此。而那些社工庫中包含手機號、身份證號在內，涉及范圍更廣的大批量隱私信息，往往出自別處——比如黑客攻擊，以及對漏洞的利用。

根據安永信息統(tǒng)計，許多數據泄露來自黑客組織入侵

在這個信息化的社會，任何軟件的注冊都會讓我們的個人信息，被記錄到數據庫中。這些記錄了個人信息的網站當然不會主動去傳播隱私，這可是違法行為。但任何軟件都有漏洞——特別是在無數黑客長年累月的攻擊下。

一旦黑客攻破記錄有敏感信息的服務器，數據庫內的個人信息便喪失了安全性。在早些時候，有些數據庫的密碼采用明文記錄，不僅使密碼泄露變得更加容易，也會產生“撞庫”風險，導致其他個人賬號被盜?！白矌臁敝傅木褪怯靡呀浶孤兜拿艽a去校驗還未泄露的密碼——舉個例子，如果你在A網站的賬號密碼泄露，同時又在B網站使用了相同的密碼，那么B網站的賬號也不安全了，因為可能會有人使用被泄露的A網站密碼，嘗試登錄你的B網站賬號。但現在大部分網站都采用以MD5算法為主的加密手段，即便泄露也無法解碼出明文，因此個人密碼在許多開盒事件當中并非最嚴重的問題。那些需要明文記錄的，包括手機號、身份信息等內容，這些才是當下被社會各界關注的焦點。

針對這些信息，不法分子會利用漏洞對其批量獲取，這被稱作“脫褲”（通過各種手段批量獲取網站數據庫內容）。在一些群組中，還會有人分享最新的“思路”（最新的漏洞與利用漏洞方式），而一旦某個“思路”廣為流傳，則會被稱為“泛濫”（太多人知道某個漏洞）。有時，還會有人分享Python腳本，讓更多人能夠通過漏洞來一鍵獲取大量個人信息。比如在2024年1月左右，就發(fā)生了一起利用某平臺漏洞獲取某省居民“大頭”（指實名大頭照）的事件（出于隱私與信息保護，同樣不注明具體事件，下同），有人在發(fā)現漏洞后制作批量化腳本，通過窮舉的方式大規(guī)模獲取他人身份信息。

通常來說，當一個思路泛濫后，相應的漏洞就會被重視，并及時修復?？梢呀洀穆┒粗辛鞒龅膫€人信息，就再也不是徹底的隱私了。

但最大的漏洞，永遠不在服務器與防火墻上，而是在人身上。讓某個服務器癱瘓的最好方式不是在網絡上攻克它，而是肉身剪斷附近的網線。所以，有這樣一句玩笑話——黑客的盡頭是社會工程學。那些更加系統(tǒng)、更加私密的信息，還是出自某些能夠接觸到這些信息的內部人員。

在黑產群中，經常會有“重金尋找內部工作人員”的公告。他們往往會開出極具誘惑力的價碼，再用煽動性的語言吸引握有權限的工作人員，并從其手中套取隱私信息。權限等級越高，能夠查詢的信息就越私密，黑產從業(yè)者開出的價碼就越高。他們往往用各種手段規(guī)避風險，同時用虛擬貨幣完成傭金發(fā)放，導致難以對“內鬼”溯源。

總之，無數難以修改的個人信息“源頭數據”從各種渠道向外流出，并一層一層地分散到了不同的地方。

對大批量的“源頭數據”來說，暗網往往是首個去處——其實，暗網也沒那么神秘，但這不是今天的主題，只需知道暗網是通過特殊手段才能登入的匿名網絡即可。2022年，在某個以B開頭的暗網論壇中，有一個疑似包含10億公民信息的數據庫以10比特幣的價格掛牌出售，由于采用匿名交易，我們無從得知賣家與買家究竟是誰，數據的去向暫時不明。類似的事件不在少數，同樣是在2022年，某包含1億7273萬條學生信息的數據庫也發(fā)生了信息泄露事件，如今能在不少社工庫中查詢到的學生信息，就疑似出自這起事件。

而這些被層層倒賣的“源頭數據”，主要有兩個去向，但性質都屬于黑灰產——要么是流向那些需要針對個人信息進行定制化服務的產業(yè)，比如殺豬盤詐騙、非法廣告等，要么是流向某些“社工庫”中。這些流向“社工庫”的信息，就是讓“開盒”變得如此簡單、如此普遍、如此廉價的原因。

在某些海外加密聊天軟件上，存在大量“社工庫機器人”，機器人的作用便是檢索社工庫內的個人信息。這些社工庫機器人的運營者有很多，而社工庫的內容也不盡相同。能夠查出更多信息的社工庫機器人和門檻較低的免費社工庫機器人，更受人們青睞。通常，使用社工庫機器人需要加入相應的聊天群，接著花費少量金錢購買“積分”，或通過簽到來獲取免費的額度，最后就可以檢索社工庫內的信息了。

查詢的方式也很簡單，通過Q綁泄露的數據，便能查詢到手機號，而手機號則有可能定位微博等社交平臺，還有可能直接查詢到綁定者的身份證號。只要輸入個人信息鏈中的任意一環(huán)，社工庫機器人就會將所有信息全部整合出來。除此之外，有的社工庫機器人還存在“獵魔”功能，只需要輸入一個人的模糊信息，比如姓名、地址等，就能通過數據比對來查出一個人的真實信息。

但社工庫內的信息并不是面面俱到的——不同的社工庫可能包含不同的信息，因為大部分社工庫收錄的只是那些在各種大型漏洞中泄露的，不知被轉賣幾手的個人數據，往往“只”包含個人的二要素（姓名、身份證號）與已經泄露的互聯(lián)網賬號。而有些“財力雄厚”的社工庫，會買斷某些“源頭數據”，獲取最新的泄露數據，以此來與其他社工庫機器人達成差異化競爭——即便是黑產，也存在競爭關系。

在一個社工庫機器人的數據列表中，你可以看到大量來自不同數據庫的信息，這些信息往往能夠交叉驗證，并構建出一個人的互聯(lián)網形象。

免費或極為廉價的方式，就能查出如此之多的信息，又何況定制服務呢？在社工庫交流群中，往往會有大量定制化服務廣告，這些定制化服務都是采用人工查詢，也就是前文提到過的“內部工作人員”來完成，收費通常較高，但也局限在幾百到幾千人民幣不等。通過高級人工查詢，甚至能夠定位飛機火車記錄、人物軌跡、身份證正反、開房記錄、全家戶籍、快遞地址、外賣地址等極度私密的信息。而交易往往通過加密貨幣USTD（泰達幣）進行，同樣很難對其進行溯源。

于是，通過社工機器人引流更多人進入交流群、在交流群內發(fā)放定制化服務廣告、用交流群吸引“源頭數據”……一條圍繞著社工庫的，有關個人信息的黑色產業(yè)鏈，就這樣成型了。社工庫所有者要么通過搭設機器人以付費用戶牟利，要么通過交流群吸引更多個體“查檔人”付費發(fā)送廣告并獲取分成，要么二者皆有。社工庫所有者成了“購買數據”“引流入群”從而進行“拉客”的中介，而那些個體“查檔人”也成了收取“查檔者”費用、買通“內部人員”，獲取“受害者”信息的中介。個人信息在這里成了牟利的工具，也會在交易當中繼續(xù)流傳下去——絕大部分，都會流向某場已發(fā)生的，或未發(fā)生的網絡暴力當中，從近期的許多新聞中，就能看出這一點。

而這樣的社工機器人與對應的社工庫，還有很多很多。幾乎每一個社工庫交流群中，都有數千至數萬不等的成員數量，“開盒”“開戶”“二要素”“名下三網”等對話屢見不鮮。除此之外，甚至還有收錢不辦事的黑吃黑情況出現。在近期的輿論下，不少社工庫機器人選擇暫時關閉“避風頭”，但仍有大量社工庫機器人正在運營。

整個黑產交易的利益鏈條規(guī)模龐大，不少黑產人員肉身位于國外，交易采用虛擬貨幣，導致隱藏極深。對隱私泄露相關黑產的揭露，顯然是需要被社會各界所關注的問題。你可以看出，抵制開盒本質上抵制的就是“隱私泄露”，開盒只是近期引發(fā)輿論最廣的一個點而已。隱私泄露所帶來的也不僅僅是開盒與網絡暴力這么簡單——那些針對個人定制的騙局，同樣來自隱私泄露，正如央視網文娛銳評的那樣：“別讓開盒撕碎隱私保護盒”。

就目前全社會對開盒事件的輿論來看，的確有更多人意識到了“社工庫”的存在，也進一步了解隱藏在背后，把個人隱私作為商品的整個黑產鏈條——至少，它們不再是神秘未知的。這就讓我們在面對信息泄露的相關問題時，才能夠有針對性地防范與規(guī)避?；蛟S，唯有各行各業(yè)共同加強對信息安全的保護，才是從根源上阻止隱私泄露、阻止黑產肆虐、阻止開盒事件再度發(fā)生的根本方式吧。

不論如何，這都需要無數種社會力量多方配合與努力，才能真正保護好人們的隱私。而保護隱私的這條路，還有很長。