300元“人肉開盒”陌生人！7000個機器人在線販賣四部門出手整治暗網_風聞

IT时报-《IT时报》官方账号-1小时前

2025-03-29

13歲女孩“開盒”事件追蹤

作者／ IT時報記者****孫妍

編輯／郝俊慧

“百度副總裁謝廣軍女兒開盒事件”觸動大眾對個人信息保護的神經，一名13歲未成年人在網上多次“人肉開盒”一位孕婦，不僅惡意公開她的隱私信息，甚至進而引導和實施騷擾、造謠、辱罵等行為。

“潘多拉魔盒”被打開後，有人離開社交平台，有人被短信轟炸，有人被迫搬家……自從被“開盒”以後，很多人平靜的生活都被迫脱離正軌，小可（化名）就是其中之一。

“我在網上幫被‘開盒’的孕婦發聲，結果被兩個網友惡意‘開盒’，其中一位就是後來被曝出的百度副總裁謝廣軍的女兒。”小可對《IT時報》記者表示，近10位受害者都被這兩位網友“開盒”，大家正在各自報警，後續準備聯合起訴維權。

從小可掌握的信息來看，另一位開盒者是吉林一所學校的學生。

“我是先報警還是直接起訴？如果當地警方不受理怎麼辦？是要起訴未成年人本人還是監護人？”高額的維權成本，讓小可身心俱疲。

一個13歲未成年人怎能輕易“開盒”陌生網友？低齡化、飯圈化、素人化，疊加互聯網大廠高管，讓這場“開盒”事件鬧得沸沸揚揚，一個隱藏已久的毒瘤“社工庫”再次被暴露在陽光下。

300元可買到他人隱私信息

3月20日，百度召開“開盒”事件安全溝通會，表示“開盒”信息來自海外社工庫，百度任何職級員工及高管均無權限觸碰用户數據。

“人肉開盒”“開盒掛人”，是指利用非法手段獲取並公開曝光他人隱私數據與信息，如姓名、住址、電話、照片、身份證號碼等，最初來自網絡貼吧、論壇等匿名平台，意思是“打開盒子揭露隱私”“把某人的信息在網上掛出來”。近年來，此類事件時有發生，甚至從信息曝光延伸為電話騷擾、網暴攻擊、恐嚇威脅等網絡暴力違法犯罪行為。

一言不合就“開盒”，意見衝突就“人肉”……不少“開盒”事件背後牽涉未成年人，由於畸形的飯圈文化影響，“開盒”涉事者呈現低齡化趨勢。

2023年，某視頻平台通報一起“人肉開盒”案例。經公安機關查明，此次網暴侵權案件牽涉18個省份，共計40餘人，當中的主要活動成員是兩名未成年人。

而這個被打開的“潘多拉魔盒”，正是藏匿龐大個人隱私信息的“社工庫”。

黑灰產從業者從各處收集、聚合的個人信息，通過用户名、姓名、郵箱、QQ號、微博ID等進行深度挖掘、歸類，將這些信息與歷史泄露信息進行串聯，從而拼湊出一個龐大的隱私信息查詢引擎，成為“人肉開盒”和信息商販斂財的工具，俗稱“社工庫”。

安全團隊網絡尖刀創始人曲子龍透露，大部分“社工庫”在某款境外即時通信軟件上兜售。

《IT時報》記者在這款境外社交軟件上搜索“開盒”“社工庫”，發現多個相關公開羣組，其中一個名為“天網社工庫查檔開房記錄”的羣組內有54600多名成員，為了顯示其數據庫的強大，“天網社工庫”時不時會在羣內公開“掛人”，公開某人的姓名、身份證號、身份證歸屬地、電話等信息，為了讓信息看起來豐富好賣，他們還會利用已知隱私信息在算命網站上輸出“星座”“生辰八字”“算命信息”等細節信息。

客服在羣裏指引羣友點擊“機器人”鏈接進行付費查詢，500元包月無限下載查詢，1000元包季度無限下載查詢，2000元永久無限下載查詢，**最低300元起充，就能查到一套完整的他人隱私信息，包括具體的家庭地址、快遞地址、車牌車主、開房記錄等等。**充值方式除了用USDT（泰達幣）虛擬貨幣外，還支持支付寶、微信掃碼支付。

從《IT時報》記者調查過程來看，這些社工庫“機器人”的自動化程度較高，在線充值後，只需要確定查詢類別，輸入微博號、微信ID、手機號、QQ等已知信息，就可以直接獲取到個人的其他隱私信息。

300元、幾分鐘，便能買來一個人的多維度隱私信息。

巨大的利益誘惑讓黑灰產從業者鋌而走險。最近，由於媒體鋪天蓋地的報道，個別“社工庫”暫停運營，但依然有源源不斷的社工庫“機器人”被製造着，或者藏在黑暗、腐爛的地下。

“目前可監測到的暗網有3000多個，僅僅這一境外社交軟件上查詢到的機器人就有7000多個。”曲子龍透露。

《IT時報》曾報道，2018年，鐵路12306的60萬個賬號和410萬個聯繫人信息在暗網上被兜售，經實測部分數據可登錄12306；2018年，萬豪國際旗下喜達屋酒店發生龐大信息泄露，5年中，黑客在不驚動酒店和顧客的前提下，不斷蠶食5億顧客積分，可以確認其中3.27億用户的出生日期、電子郵件地址、護照號碼、性別、開房信息等均已泄露；兩年後，萬豪再度泄露520萬用户信息。

一條黑灰產業鏈浮出水面，暗網是隱私泄露的“批發市場”，當然，還有更多隱私信息泄露發生在比暗網更深的地方。從暗網上購買的多維信息可以拼湊成一個“社工庫”，進而在社交平台這個“大集市”上兜售。

需警醒的是，信息泄露不可逆，這些已泄露的龐大數據，被永久沉澱在“社工庫”中。

泄露源頭八成來自內鬼

王超（化名）曾在一家房地產信息科技公司就職，以每條几十至上百元的價格，出售房產狀況及產權人信息數百條，後因非法出售公民個人信息罪被判處一年有期徒刑，警方查證發現，將這些個人信息泄露給王超所在公司的源頭是某商業銀行的工作人員。

串通內鬼是不法分子獲取個人信息的慣用手段。2020年，某快遞企業員工私自向不法分子有償出借工作賬號，致使超40萬條公民個人信息泄露。

奇安信集團網絡安全部對中國裁判文書網上2011年至2019年10月間所有與數據泄露相關的典型判例分析發現，數據泄露風險主要來自內部人員，大概佔80%，因為身份的合法性，是數據安全監控體系最具挑戰的部分。

“14億中國人平均每人可泄露約19條個人信息數據。”CEATI聯盟、數據安全事業部、奇安信等多方發佈的《2024中國政企機構數據安全風險研究報告》顯示，在境內政企機構數據泄露風險事件中，71.8%的事件涉及個人信息，可造成個人信息泄露數量多達266.9億條。網盤、文庫、代碼託管等互聯網知識共享平台是數據泄露的重要渠道之一，內部人員與合作伙伴是造成此類數據泄露事件的罪魁禍首。統計顯示，數據在互聯網知識共享平台上泄露的首要原因是內部人員泄露，佔比32.3%；其次是合作伙伴泄露，佔比23.7%；明確為外部攻擊導致的數據泄露事件僅為5.0%。

近年來，我國對於出售、非法提供公民個人信息罪和非法獲取公民個人信息罪的處罰越來越嚴格。

《中華人民共和國刑法》規定：情節嚴重的，處三年以下有期徒刑或拘役，並處或者單處罰金。《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確了定罪量刑標準，根據信息類型不同，非法獲取、出售或者提供公民個人信息“五百條以上”“五千條以上”“五萬條以上”，或者違法所得五萬元以上的，“造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果”“造成重大經濟損失或者惡劣社會影響”，即屬“情節特別嚴重”。

但對於系統運營者泄露數據的罰款力度並不大。

《中華人民共和國個人信息保護法》規定：若企業違反該法規定處理個人信息，或處理個人信息時未履行規定的保護義務，情節嚴重的，不僅會沒收違法所得，還會處五千萬元以下或者上一年度營業額百分之五以下罰款。

但在2024年公開報道中，處罰最高的幾筆均為10萬元，具體泄露數據量未公佈。相比較而言，上述酒店巨頭萬豪泄露3.44億人的信息泄露案，最終被罰5200萬美元（約合人民幣3.78億元）。

“相比某些國家動輒數百萬、上億元的重錘式罰款，對於數據泄露的企業，中國監管機構往往只開出10萬元以下的罰款，如果罰款遠小於網絡安全建設成本，那麼運營者自然會選擇碰碰運氣，放棄網絡安全投入。”奇安信集團行業安全研究中心主任裴智勇表示。

他提到，曾有一所高校因發生重大數據泄露事件，被判罰80萬元，這家高校隨即向很多安全公司諮詢數據安全的建設方案，結果發現，各家安全公司給出的最低報價都要將近200萬元，最終這所高校放棄了數據安全建設項目。

記者手記

守護信息安全

不應只是受害人的“孤軍奮戰”

2017年春節期間，一位朋友的父親因肝癌不幸去世，原本已經哭到虛脱的母親，卻在殯儀館接到婚介公司打來介紹對象的電話。親人屍骨未寒，內鬼們卻已將家屬的信息出賣，但家屬無法確定，也無力尋找內鬼出自哪一環。

這個事情發生後，我做了一篇調查報道《到底是誰賣了我的隱私？》，第一次深入瞭解“社工庫”，而“白帽子”安全人員經過我的授權後，幾分鐘就買到了記者的個人隱私信息，深深地震撼了我。

彼時，在黑市裏，5分鐘就能搞到上千條銀行賬户信息，700元能買到一個人的行蹤，包括開房、乘機等記錄，只需要提供一個手機號就能搞定。

如今，10年過去，“社工庫”改變陣地，在境外社交軟件繼續“肆意生長”，並通過飯圈將“魔爪”伸向三觀尚未形成的低齡人羣，讓素人網友無辜受害。

如此惡劣，遠超想象，我們不應再用一句麻木且無奈的“誰的個人信息不裸奔”一筆帶過，以此姑息罪惡。

今年的央視315晚會上，同樣呈現了驚心動魄的幾幕：雲企智能的獲客軟件會自動在選擇的短視頻平台上掃描評論區，一旦發現與標籤詞相關的評論，就會強行抓取這個用户的電話、微信賬號等信息；啓科科技可以通過運營商後台即時調取用户地理位置、消費能力、人生階段等3800項標籤。

每個人的信息，在這些爬蟲和內鬼面前，被予取予求，而這些違法者付出的代價，還是不夠高。

如今，無助的小可和其他受害者正準備集體訴訟，但即將面臨的取證，便成為擋住她們的第一道門檻。

守護個人信息安全，不應該只是受害者的孤軍奮戰。當數據泄露成為系統性風險，每一個環節上的企業、機構和個人，都應該為此擔責，而且需要更便捷、更堅決、更剛性的追責。否則，“開盒”有可能成為每個人被網絡攻擊的“盒武器”。

3月28日，據網信中國微信公眾號消息，中央網信辦、工業和信息化部、公安部、市場監管總局宣佈聯合開展2025年個人信息保護系列專項行動，其中一項重點是整治個人信息相關違法犯罪案件。四部門將聚焦網絡借貸、求職招聘、出行購票、教育、醫療、旅遊住宿等領域個人信息違法犯罪活動，通過暗網電報等境外渠道以及境內渠道違規售賣公民個人信息，以及個人信息泄露或被攻擊竊取等違法犯罪案件開展治理。

排版／季嘉穎

圖片／採訪對象奇安信東方IC

來源／《IT時報》公眾號vittimes

E N D