编者按:本文来自微信公众号 卢克文工作室(ID:lukewen1982),作者:高原,创业邦经授权转载。
3月20日下午,闹的沸沸扬扬的“百度副总裁女儿开盒孕妇事件”,总算等来了百度的通报。
百度主要通报了三点调查结果。第一,百度副总裁谢广军没有调取百度用户个人数据的权限,第二,所谓副总裁女儿承认“家长给的”,其实给的是红包,而不是数据。第三,开盒数据并不是来自百度,而是主要来自境外软件。
这个事情的背后,埋着一个巨大的问号,为什么开盒别人会如此容易?因为在我们看不见的阴暗面,有一条隐秘且门槛非常低的——
开盒产业链。
一
首先,我们要搞清楚什么叫开盒。
为了便于理解,你可以将“开盒”,视为“人肉搜索”的升级版,本质上都是在网上曝光你的真实身份。
在互联网的上古时代,所有人都是匿名的。
那时候有一句话叫:在网上,没人知道你是一条狗。
但是随着博客、QQ空间的问世,大家在发布动态和晒照片的时候,也往往会暴露出一些个人信息,如果有心人把这些信息进行整理拼凑,那就能基本还原出这个人的真实情况。
这就是人肉搜索。
比如早期的网红芙蓉姐姐、毒药等,都遭遇过人肉搜索和网上曝光。
在“人人参与”的加持下,人肉搜索的效率非常高,比如当年著名的“猫扑虐猫女”事件,从其虐猫到网友扒出其真实身份,只用了6天时间,比警方的速度都快。
从此,互联网匿名时代彻底结束了。
其实一开始,“人肉搜索”,还可以简单理解为一种“舆论监督”,在揭露恶人、打击犯罪等行为时,往往能起到很大作用。
但另一方面,人肉搜索中,不可能人人都能真正保持冷静和超然的道德感,网络暴力也就应运而生。
还好,人肉搜索是有门槛的,需要很多人参与,甚至采取线下蹲点、跟踪来获取信息。所以,虽然人肉搜索的负面作用巨大,但它就像“核武器”一样,不会被轻易使用。
而“开盒”的诞生,彻底把这个门槛削平了,把需要很多人参与的人肉搜索,变成了一对一的“开盒服务”,这样就相当于人人都可以有核武器,人人都可以用核武器。
发展到现在,“开盒”已经发展出了一条上中下游齐备的完整产业链。
产业链上游,也就是数据泄露,以“社会工程学工作者”和内鬼为主。
啥叫社会工程学工作者?这里有必要介绍一下社会工程学。
社会工程学(Social Engineering)这个词,在2002 年由传奇黑客米特尼克提出,其核心观点可以理解为:当无法利用技术的弱点解决对方时,就用人性的弱点解决对方。
你可以把“社会工程学工作者”理解为黑客,而且是那种心思比较活泛的黑客,种种手段让人防不胜防,他们往往会利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击,你就算技术防护做得再好,也很难保证百分百安全。
这样一来,黑客就可以轻松攻破很多数据库,然后把数据库打包下载到自己的电脑上,行话叫“脱库”。
在早期,这种脱库行为还都是单打独斗,但现在已经变成了团队作战,而脱库目标的选择,主要是两种:
自发式和定制化。
自发式,主要是黑客看哪个数据库价值大,就主动去攻击爆破,然后脱库。
但问题在于,脱下来的库未必有人愿意要,可能白费工夫。二是买家也担心,库买来了,黑客又低价卖给别人。
所以现在,又出现了定制化脱库,一般都是客户想要哪个网站的数据,然后找黑客去脱库,黑客脱库后拿到佣金。
比如,某个互联网公司想拿天使轮,但客户不够啊!于是就找来黑客,去脱某个友商的库,拿到数据后做个虚假运营,就可以轻松骗来投资。
按照规矩,黑客拿到数据后,交给上家拿到佣金,是不能把数据二次出售的。
但问题在于,数据也是钱啊!黑客会选择用这个数据库进行利益最大化操作,这就是传说中的——
撞库。
撞库原理也很简单,主要是利用很多人“一码走天下”的懒惰心理。
假设,你在A网站注册ID是“张三”,在B网站注册ID也是“张三”,那么只要黑客拿到了你在A平台的账号和密码,去尝试登陆B网站,如果你俩网站的密码是一样的,黑客就能“撞”进B网站。
当然,黑客可不是一个一个去试,而是拥有自己的数据库匹配登录技术以及打码机制,进行批量撞库。
只要成功撞进去,那么你在B网站拥有的一些金币啊、预存款啊、网游装备啊,那么就能轻易被转移走。
这种操作,行话叫“洗库”。
有时候,黑客撞成功一个网站后,会拿着撞成功的用户ID和密码(说明这个人懒,喜欢所有网站一个密码)把所有大的电商、网游等等网站都撞了,这就是撞库—洗库—再撞库。
当然,数据泄露的元凶,不仅有黑客,也有内鬼。
二
中国20年的移动互联网发展,造就了无数分散的、无人统计、难以监管的庞大数据系统,大的有大互联网企业、快递平台,中的有一些大医院、大学,小的有一些培训机构、物业公司,甚至哪怕一个小小的快递员,手中都能拥有几千人的数据。
大的互联网企业在数据安全方面,相对来说比较重视,数据管理流程也比较正规。可是一些小机构,基本谈不上什么数据管理意识。
无论是物业保安还是订票人员,无论是培训老师还是快递员,都有机会接触到详细个人信息,一旦他们监守自盗,后果不堪设想。
在境外网络群组中,随便留意一下就能看到一些招募“长期合作”的“相关专业人士”的广告,话术一般都是“日入过万”“快速变现”,诱惑一些掌握关键数据的人员加入,还一对一指导对方如何规避风险。
结果,总有一些人抵挡不住诱惑,成为内鬼,为一点蝇头小利,而把数据卖给黑客。
现在知道为啥你刚订了机票,就接到取消航班的诈骗电话;你刚生完孩子,就有人打你电话推荐脐带血;你孩子刚刚上学,就有人推销课外班了吧?
这显然都是内鬼在作怪。
这些数据,零零总总都会汇总到黑客那里,由黑客进行贩卖乃至撞库、洗库的操作。
等把市面上能洗的库都洗得差不多了,黑客也会继续把数据库榨干最后一点价值,将其卖给社工库。
社工库,是开盒产业链的中游,以“库主”为主,这个群体可就比黑客群体大多了。
在黑客圈子里,自己搜集或者窃取的网络数据,一般都会放到暗网去售卖,而很多信息一直到黑客挂出来,数据管理方才知道泄露了。
2019年11月,淘宝遭遇数据爬取并盗走大量用户数据,超过11亿8千多万条用户信息泄露。
2020年,标题为“新浪微博5.38亿条用户信息”的数据包在暗网出售,号称包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等,随后工信部约谈了新浪微博相关负责人。
2022年,《环球时报》披露,上海某科技公司因数据库存在未授权访问漏洞,造成部分数据泄漏被传输到境外(圈内的应该都知道是哪个事件了)。
2024年,《每日经济新闻》刊发《知名企业家个人信息遭大规模泄露,涉蜜雪冰城、荣盛、森马、蔚来等,平均约2分钱一条!卖家称数据上亿》,连很多大老板的手机号都曝光了!
以上还只是曝光出来的,没曝光出来的有多少?细思极恐了。
这些被挂上暗网的数据库,绝大部分都会被一些社工库的“库主”买走。
“库主”要这些数据库干啥呢?很简单,丰富自己的社工库。
要知道,黑客获取的数据,虽然信息量大,但内容相对来说比较单一。
比如黑客攻破了某个医院的数据库,拿到的无非也就是姓名、病历、手机号、身份证号。
所以,单一数据库,是无法知道某个人确切信息的。
但是请注意,这些数据里面,大都包括一个共同数据——手机号。
在这个手机号已经实名的时代,大家换手机号已经不像20年前那么频繁,一个手机号用一辈子太正常了。
但问题在于,这样一来,就相当于给各个独立的数据库之间,形成了一把能够把数据关联起来的“钥匙”。
黑客可以通过手机号这把钥匙,拼凑出一个人完整的社会数据,包括QQ号、微信号、身份证号、家庭住址乃至哪里毕业、看过什么病、婚姻情况等等。
这样一个拼凑完成的数据库,就是社工库,在社工库里,任何人都是绝对透明的。
什么叫“大数据时代无隐私”?这就叫。
当然,社工库是一个积累的过程,今天补充一点医院数据,明天补充一点旅游网站数据,后天补充一点订票网站数据,这也就是库主不断要买新数据的原因。
曾经有社工库在招揽客户的时候自曝,自己的综合数据量有150亿条以上,还有的社工库则自曝总数据450G,人口数据有8亿条以上。
等“库主”的社工库建好,就能摇身一变,成为开盒产业链的信息服务商。当然,库主这一行门槛并不高,所以很多人都可以参与,这也导致“库主”多如牛毛。区别,无非也就是谁的数据库信息全一些,谁的不太全罢了。
从社工库这个中游再往下捋,就是开盒产业链的下游——售卖。
说个冷知识,社工库的主要服务对象,其实并不是开盒产业,而是电诈产业。
相比零零散散的开盒业务,社工库的库主更喜欢电诈的“盘主”和“金主”们,他们财大气粗,一口气就是买几百万乃至几千万条数据,赚钱容易多了。
为什么我们有时候接到电诈电话,对方都能准确报出我们的姓名、身份证号,甚至网购订单、机票订单甚至还有看病信息?这背后的源头,就是社工库。
至于开盒嘛,“库主”才懒得一个一个对接需求,他们只会提供一个查询权限给“查询服务商”,由“查询服务商”去招揽开盒顾客。
“查询服务商”数量繁多,不少“查询服务商”都号称可以查到个人户籍、婚史记录、身份证正反面、名下房产、银行卡流水、开房同住人员、出入境、个人轨迹、学籍学历等各种隐私信息。
而查询价格,也根据查询类别的不同而有所不同。比如个人户籍10U,婚姻记录50U,外卖记录100U(U是USDT,一种以1:1汇率与美元挂钩的虚拟货币),等等……
值得一提的是,查询的门槛并不高,只需要下载和稍微搜索一下,就能加入某个“XX社工库”的群组。
进入群组后,“查询服务商”一般会给你一两次查询,如果你邀请新用户,也可获得更多查询次数。
当然,如果你想无限次开盒,也可以购买月包乃至年包,一般一个月是63U,这里面不乏有把开盒权限二次转租或代查询的“盒佬”,所以你根本没法统计到底有多少人具备开盒能力。
而且,现在这种群组已经有了自动回复机器人,只要你按格式输入命令,根本不用客服人员,就可以随意查询,365天24小时全年无休。
所以,开盒这件事,根本没有我们想的那么复杂,可能只需要几十块钱到几百块钱就搞定了。
三
除了精确查询,现在的社工库还有模糊查询技术,圈内叫“猎魔”,毕竟,很多时候你得知的对方信息并不多,如何精准找出对方的真实信息呢?猎魔技术就是在庞大的弱关联信息里,不断探索,寻求强关联。
比如,你被一个叫张三的人给骗了,除了知道他的名字,其他一切都不知道,那么猎魔技术也可以精确帮你找到对方,方法也很简单,把所有叫这个名字的都开盒出来,然后根据籍贯、年龄、性别一筛选,就筛选出来了。
比如,2024年孙颖莎被开盒事件,就是这样被筛选出来的。
事实上,被开盒的人越红,“查询服务商”越开心,因为这是他们“实力”的证明。
再往下,就是和“开盒”配套的“网暴”产业链,只要你给钱,就能不断用各种恶臭的方式骚扰你的开盒对象。
比如,利用被开盒对象的快递和外卖地址,寄送寿衣、粪便,或者把照片PS上棺材或者色情图片进行侮辱等等。
甚至,如果给的钱足够多,还会有人真的跑到被开盒对象家门口,或者敲门,或者泼油漆,或者烧开盒对象的照片进行恐吓等等。
而且,开盒带来的还不仅仅是精神折磨,还有生活的巨大麻烦。比如,用你的身份证号去做遗体捐献登记,身份证号拿去做网贷,甚至你的父母、亲友都会被人身威胁和骚扰。
所以,开盒对普通人而言,绝对是核武器,一旦被开盒,轻则退网,重则陷入抑郁症。
那么,到底是什么人在开盒呢?
这次事件暴露了,饭圈,是开盒的重灾区。
有时候,追星追起来是没有理智可言的,为了可以和偶像接近一点,有些粉丝会开盒自己的偶像,获取偶像最新行程、入住酒店、乘坐航班等等,借此制造“偶遇”的机会。
当然,也不是所有人都喜欢某个明星,一些黑粉则会利用开盒,来打击某些明星。比如2023年6月,张馨予、赵露思等多名艺人就被开盒过。
这样一来,明星的粉丝也不乐意了,你能开盒,我也能开盒啊!于是饭圈的纠纷变成了互相使用“盒武器”,以达到网暴对方、“维护”自家偶像的目的。
发展到现在,在一些饭圈里面,只要发现网上有人说自家偶像的坏话,就会马上根据其ID进行“开盒”,然后进行网暴。
曾有网友调侃,“去微博找一个流量小鲜肉骂一下,三分钟你的身份证大头照全网高清可下载”。
除了饭圈,还有“催债公司”“清收公司”以及殖人圈子等等,这些人通过开盒,可以直接拿到他人的个人信息,然后再进行当面的清收和催债,或者进行网暴。
总之,只要你有需要,开一个人的盒并不难。
这场数据时代的“猎巫运动”,不仅折射出技术异化下的社会病灶,更暴露出数字文明进程中人性尊严的危机。
四
开盒有多可怕?
这么说吧,盒武器的可怕之处,并不是其带来的网络暴力,而在于,我们对开盒没有什么特别好的办法。
说实话,相关法规不是没有。
2023年9月,《关于依法惩治网络暴力违法犯罪的指导意见》发布,规定组织“人肉搜索”,违法收集并向不特定多数人发布公民个人信息,情节严重,符合刑法第253条之一规定的,以侵犯公民个人信息罪定罪处罚。情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。
“开盒”后在网络上公然侮辱他人或者捏造事实诽谤他人,情节严重的,以侮辱罪、诽谤罪定罪处罚。利用信息网络辱骂、恐吓他人,情节恶劣,破坏社会秩序的,还可能涉嫌寻衅滋事罪。
《治安管理处罚法》也规定,散布他人隐私的,处5日以下拘留或者500元以下罚款;情节严重的,处5日以上10日以下拘留,可并处500元以下罚款。
2023年11月17日,中央网信办在全国范围内启动为期1个月的“清朗·网络戾气整治”专项行动,打击“开盒挂人”行为。
但问题在于,法规是一回事,执行又是另一回事。
按道理来说,被开盒后要报警,但问题在于,报警需要“加害人”吧?可是你又从何得知加害人的信息呢?
事实上,有大量被开盒的人,也的确报警了,但因找不到具体的施害者,最后也不了了之。
而且,现行法律法规,针对的多是开盒产业链的“下游”,对中游和上游,因为其社工库服务器、运营、支付系统都在境外,法律往往无能为力。
而且,就算你能跨境打击,也根本不可能打击干净。
只能是有人报警了,就针对个案调查一下,但对整个产业链,没有特别好的整治办法。
而且,就算成功破案的开盒案件,也多以处罚“买开盒”的人为主,而且因为开盒发生在虚拟空间,关于“情节严重”很难有准确定义,所以就算被抓,也很难以重罪定罪。
我们看到,被开盒的明星、运动员也不止一个了,事后有结果没有?没有结果。
所以,整治开盒,不能只抓下游,还要从上游抓起。
2025年的中国,正站在数字文明的十字路口。
过去20多年,中国享受了数字经济发展的红利,但由此带来的整个社会对隐私权的妥协,正在让所有人都在承受恶果。
或许,无论你,无论我,都早已“入库”了,我们不知道,只是因为没人查我们而已。
当技术能轻易撕开每个人的生活幕布时,我们比任何时候都更需要一场数字保护。
希望这次事件,能真正引起国家层面的重视,像打击电诈一样打击开盒产业链。
这不仅关乎个体安全,更是一场守护全体中国人人性尊严的终极战役。
本文为专栏作者授权创业邦发表,版权归原作者所有。文章系作者个人观点,不代表创业邦立场,转载请联系原作者。如有任何疑问,请联系editor@cyzone.cn。
