3月20日，針對近期百度副總裁謝廣軍女兒的“開盒”事件，百度舉行安全溝通會，正面解答了對這一事件的調(diào)查以及對事件中“開盒”信息來源的詳細復(fù)盤。經(jīng)調(diào)查，“開盒”信息來源于海外社交平臺里一個名為“天網(wǎng)社工庫”的群組，而3月17日百度已經(jīng)調(diào)查過謝廣軍在各項系統(tǒng)中的權(quán)限，并未發(fā)現(xiàn)其有數(shù)據(jù)訪問記錄。

新京報貝殼財經(jīng)記者隨后調(diào)查了該群組，發(fā)現(xiàn)其已經(jīng)禁止了發(fā)布信息的功能。但其所在的海外平臺還存在諸多類似群組，有黑灰產(chǎn)從業(yè)者在群組中公開招攬擁有云搜、網(wǎng)安、銀行等部門權(quán)限的內(nèi)部人士。

那么，百度是否會成為泄露用戶信息的一方？對此，百度安全負責人陳洋告訴新京報貝殼財經(jīng)記者，百度內(nèi)部有嚴格的數(shù)據(jù)管理體系，防止任何一個人泄露用戶數(shù)據(jù)，“社工庫中沒有從百度泄露的數(shù)據(jù)，而且我們也沒有收到過任何這個方面的反饋�！�

北京盈科（合肥）律師事務(wù)所合伙人姜萬東律師告訴記者，網(wǎng)上“開盒”他人本質(zhì)是非法獲取、公開他人隱私并煽動網(wǎng)絡(luò)暴力的違法行為，《民法典》第1032條明確保護自然人隱私權(quán)，禁止以刺探、泄露等方式侵害他人隱私。若“開盒”涉及身份證號、家庭住址等敏感信息，即構(gòu)成對隱私權(quán)及個人信息權(quán)的直接侵犯。若信息包含侮辱性內(nèi)容（如捏造丑聞、惡意P圖），還可能進一步侵害名譽權(quán)、肖像權(quán)等人格權(quán)。未成年人參與“開盒”，監(jiān)護人需承擔賠償責任。

▲百度安全負責人陳洋復(fù)盤事件調(diào)查結(jié)果

━━━━━

3月17日接到舉報，當日成立技術(shù)調(diào)查組

陳洋表示，百度在3月17日接到了針對“開盒”事件的舉報，并在當日成立了技術(shù)調(diào)查組，開展調(diào)查并審計了謝廣軍的系統(tǒng)日志，并在3月18日發(fā)布了排除謝廣軍泄露嫌疑的結(jié)論，同時定位了真實的泄露渠道。

“我們首先以有罪推定去假設(shè)謝廣軍可能做了什么，有沒有權(quán)限做。在百度內(nèi)部，想要訪問數(shù)據(jù)，理論上一共只有三個途徑，第一是數(shù)據(jù)系統(tǒng)的訪問權(quán)限，第二是登錄有權(quán)限的服務(wù)器，三是登錄辦公系統(tǒng)�！�

“數(shù)據(jù)管理平臺審計中心顯示，謝廣軍沒有任何數(shù)據(jù)權(quán)限，也沒有數(shù)據(jù)訪問記錄，服務(wù)器審計系統(tǒng)顯示，謝廣軍在2024年10月1日至2025年3月25日期間，沒有登錄過百度任何服務(wù)器�！标愌蟊硎荆�“另外，我們也查詢了辦公系統(tǒng)，雖然辦公系統(tǒng)并不包含業(yè)務(wù)數(shù)據(jù)，但本著嚴謹?shù)膽B(tài)度，我們也查詢了他過去半年所訪問的內(nèi)部每一個系統(tǒng)，也未發(fā)現(xiàn)謝廣軍有任何異常訪問行為。”

那么，本次開盒事件的數(shù)據(jù)是從哪里泄露的呢？經(jīng)過對被舉報人即謝廣軍女兒的訪談，百度定位了海外平臺上一家名為“天網(wǎng)社工庫”的群組。

貝殼財經(jīng)記者發(fā)現(xiàn)，在國內(nèi)登錄此類海外平臺并不容易，但在國外門檻較低。有技術(shù)專家表示，一方面，由于門檻低，海外未成年人很容易受到此類平臺的引導(dǎo)；另一方面，信息泄露行為以及“社工庫”存在已久，不少信息較舊的社工庫中存儲的個人信息甚至已經(jīng)被“倒手”多遍，導(dǎo)致其查詢成本一降再降，從歷史上的5元至200元查詢一次，變成了當前的允許用戶一天免費查詢兩次，這導(dǎo)致了“開盒”門檻的進一步降低。

那么，百度的用戶信息是否可能被納入這些“社工庫”？陳洋介紹，百度在用戶個人信息注冊階段采用實時假名化處理，原始數(shù)據(jù)單獨加密隔離。同時，百度任何職級的員工及高管均無權(quán)碰觸用戶數(shù)據(jù)。

━━━━━

調(diào)查：社工庫和“開盒”灰黑產(chǎn)存在多年 可通過微博查到全家戶口簿

實際上，社工庫以及與“開盒”相關(guān)的灰黑產(chǎn)存在已久。早在2020年，新京報貝殼財經(jīng)記者就曾在灰黑產(chǎn)群組上調(diào)查過數(shù)個社工庫，其中最為火爆的社工庫運作流程甚至已經(jīng)完全“自動化”，記者只需要輸入手機號，其就會自動導(dǎo)出帶有部分星號遮擋的對應(yīng)機主真實姓名、所在地區(qū)、社交平臺賬號甚至密碼，記者經(jīng)認識的人同意后進行測試，發(fā)現(xiàn)結(jié)果全部準確，而若要購買上述信息，則需要用戶進行“積分充值”。

時至今日，此類黑灰產(chǎn)群組依然存在，其中就包括百度在調(diào)查中提到的黑灰產(chǎn)群組“天網(wǎng)社工庫”。

▲“天網(wǎng)社工庫”界面 記者截圖

3月20日下午5點15分，記者查找到了一家名為“天網(wǎng)社工庫”的群組，發(fā)現(xiàn)其擁有5.5萬名成員并有192名成員實時在線。其最近的一條“開盒”查詢發(fā)生在3月20日凌晨2點13分，需求為根據(jù)手機號查詢個人信息。

而記者在另一家1.3萬人的“社工庫”群組發(fā)現(xiàn)，有大量用戶在通過群組自動機器人進行免費信息查詢服務(wù)，只要花錢，還能挖掘出如名下房產(chǎn)、開房信息甚至打胎記錄等更多深入信息。另外，坐擁此類信息而主動尋找買家的黑灰產(chǎn)賣家也大量存在。

3月20日，記者在該海外平臺發(fā)布了相關(guān)關(guān)鍵字，結(jié)果在5分鐘之內(nèi)就有三家黑灰產(chǎn)向記者銷售“開盒”服務(wù)。對此，記者試探性咨詢了包括微博查人、身份證號碼查戶口簿等，對方均表示可以做到，但不同黑灰產(chǎn)的報價也波動極大，有150元至400元的，也有高達3000元的。

而在本次引發(fā)輿情的“開盒”案例中，用戶在微博平臺“吵架”是整個事件的起點。那么通過微博賬號可以查到多少信息呢？對此，有黑灰產(chǎn)從業(yè)者向記者直白報價“微博查身份信息200元，包含姓名、年齡、戶籍地址、照片、身份證號碼、手機號�！�

▲海外平臺中黑灰產(chǎn)從業(yè)者向記者兜售“開盒”信息 記者截圖

那么，社工庫的信息是從何而來的呢？記者在一家社工庫發(fā)布的廣告中找到了端倪。該廣告稱，“重金尋找內(nèi)部人員”，包括云搜部門、網(wǎng)安部門、銀行柜臺、快遞、民政部門等，并許諾月入數(shù)十萬至百萬。

對此，姜萬東表示，若“開盒”涉及販賣或泄露大量隱私信息，甚至可能觸犯《刑法》第253條之一，最高可處7年有期徒刑。2023年“兩高一部”明確將組織“人肉搜索”納入此罪范疇。另外如果還捏造事實可能會涉嫌到侮辱罪、誹謗罪。

“如果國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，依照前款的規(guī)定從重處罰。”姜萬東說。

或許受近期“開盒”事件的影響，記者注意到當前有不少社工庫暫停了服務(wù)。如記者在一個上萬人的“查檔”群組中看到其在3月20日發(fā)布了公告“社工庫暫停使用，目前只有公安路線查詢，恢復(fù)了會通知”。而處于事件中心的“天網(wǎng)社工庫”則設(shè)置了消息禁發(fā)，用戶已經(jīng)無法再免費查詢信息。

“經(jīng)過這次事件，大家也能感受到，互聯(lián)網(wǎng)不是哪一家企業(yè)把自己做好，就能保障用戶安全，而是需要聯(lián)合各界，一起守護環(huán)境�！标愌笳f，他倡議，在相關(guān)政府主管部門的指導(dǎo)下，成立“反開盒”聯(lián)盟，幫助被開盒的網(wǎng)民。

編輯：金文婕

審核：王仕偉

版權(quán)聲明：如有侵權(quán)   請聯(lián)系刪除