百度安全负责人陈洋揭秘开盒事件:筑牢网络安全防线,共建清朗网络空间
一场舆论风暴因“开盒”而引发,它把互联网个人数据安全推到了公众视野的焦点位置。
3 月 20 日下午,在百度大厦的一间会议室里。百度的安全负责人陈洋身着一件印有“很安全”字样的工服。他详细地还原了“开盒”事件的调查经过。同时,他还复现了海外互联网开盒泄露的路径。
在现场,陈洋展示了一份公证书,这份公证书是经三方公证的,其编号为“(2025)京精诚内经证字第 1642 号”。他再次表明,百度的任何职级的员工以及高管都没有权限去触碰用户数据。
对抗“开盒”等黑灰产,其背后意味着数据安全防护不能是各自为战的“孤岛”。陈洋指出,“开盒”不能成为网络攻击的“盒武器”,在筑牢网络安全防线的过程中,需要整个行业一起维护清朗的网络空间。百度提出倡议,在相关政府部门的指导下,百度愿意积极响应并倡议推动“反开盒”联盟的成立。
百度现场还原“开盒”调查过程
此前百度的安全部门进行了披露,在调查的过程当中发现,开盒信息并非是从百度这里产生的,而是来源于海外的社工库。那么在这背后,百度到底是通过怎样的方式来进行员工的内部调查,并且又是如何追踪到开盒信息的来源的呢?
陈洋向记者透露,百度安全部门在 3 月 17 日接到了内部的举报,随后启动了事件调查。接着成立了技术调查组,对被举报人展开调查。该调查组的成员是与谢广军没有业务关联的独立调查员。
百度的内部调查过程是遵循“有罪推论”的。它假设被举报人可能存在违规行为,然后通过三种数据途径进行全面排查,这三种数据途径分别是审计数据管理平台权限、服务器登录记录以及办公系统访问日志。
调查组经过核实查证,确认被举报人不具备百度用户信息的数据权限。同时,也确认被举报人未登录任何百度数据库与服务器。基于此,最终排除了被举报人泄露数据的嫌疑,并且确认开盒信息并非从百度泄露出去的。
那么,信息泄露到底出自何处?
多方进行确认后得知,“开盒”行为的源头是在境外社交平台(像 Telegram 群组)里传播的“社工库”。调查组按照线索,把涉事的社工库网站给锁定了,并且发现该网站的界面设计以及数据展示格式(例如带有特定图标的表格)和在社交媒体上流传的截图是完全一样的,这就初步验证了泄露数据之间的关联性。
“社工库”全称为“社会工程学数据库”,它是“人肉开盒”行为的重要工具之一。黑客通过攻击网站、欺诈用户等方式,获取大量个人隐私数据,比如通过拖库(获取网站数据库)、撞库(利用已泄露的账号密码尝试登录其他网站)等手段。然后,将收集到的个人信息进行整理和归档,从而形成一个庞大的数据库。攻击者借助社工库,能够查询到目标人物的详细信息,并且会将这些信息用于人肉开盒、网络暴力以及诈骗等非法活动。
社工库的查询门槛非常低。用户不需要进行身份验证,仅仅通过海外的网络环境去访问,就能够通过免费试用或者支付少量的费用(像是虚拟货币)来获取查询的权限。有部分平台还设置了“签到积分”这种机制,从而进一步降低了操作的成本。
在 Telegram 上,记者看到有账号提供开盒服务。这些账号列出了 50 多项用户隐私信息,涵盖从身份证信息到户籍、婚姻记录、出入境记录、外卖住址、名下资产流水等。只要用户充值足够金额,就可以获取这些信息。
一位用户称自己提供开盒服务,国内主流社交网络平台如抖音、快手、b 站、小红书等的用户都能够进行“开盒”。大部分隐私信息,像姓名、身份证号、户籍地址、学历学籍、开房记录、三网电话,还有亲属的相关隐私信息等都属于“业务范围”之内。
百度安全调查团队依据被举报人复述的路径,进行查询并确认到了相应的数据,此复现过程是在北京精诚公证处的公证下得以完成的。
调查还发现,部分境外社工库网站因媒体报道暂时关闭。
同时,在“开盒事件”发生之后,网上流传着“当事人承认家长给她数据库”的截图。百度进行核实后察觉到,该截图的信息内容是不真实的。其原本的意思是博主收到了家人的红包,然后在平台上晒出了红包的截图,博主回复“我家长给的”,这主要是想表明红包的来源,和“开盒”这件事没有关系。经核实,事件发生之后大量传播的信息都是不真实的。
20多年从没发生过数据泄露
开盒事件使得公众对网络安全以及个人隐私保护给予了广泛的关注。作为一家科技企业,百度怎样去确保用户隐私等个人信息的安全呢?
陈洋首次详细地披露了百度的数据安全防护机制。他说,在对用户个人信息安全进行防范机制建设方面,百度内部运用假名化这种方式,同时实行权限分离,并且进行统一管控等机制,从而实现了无死角的数据安全风险防护。
用户注册时就开始启动假名化处理,把真实信息转变为唯一的加密 ID,业务系统只运用假名进行操作,以此达到业务系统与敏感数据在物理层面上的隔离。
陈洋介绍,所有用户的敏感信息都会被进行加密处理。这样一来,能够确保业务系统无法直接触碰用户的信息。即便有人拿到了用户的信息,那也只是一串字符而已。因为加密的系统以及密钥的管理是在另外的场所进行的,并且业务系统还会对其自身的数据进行另外的加密操作。
系统权限设计强化了制衡逻辑。具体来说,我们拥有两把“钥匙”,其一为管理用户敏感信息的钥匙,其二为业务数据加密的钥匙。这两把钥匙分别由不同部门的不同人掌管,由此形成了权限分离。陈洋表示。
陈洋提及,在百度内部存在这样的情况,职级越高,监管就越困难。比如高管申请权限账号时,还需要其主管去进行审批,这使得监管变得更加艰难。并且更为重要的是,通常情况下高管是没有这些数据需求的。
此外,百度遵循国际公认的风险控制理念,构建了三道安全防线。其一为“基础防守”,持续在公司内部开展攻防演练,以此进行预防;其二是安全部门的制度、能力以及风险专项工作,能够进行预防和安全检查;其三是稽查与内部审计、职业道德建设部等部门,会定期对异常访问等敏感行为进行稽核和内部审计。
据介绍,网盘数据被认定为最高密级数据,并且是与用户身份信息数据一并被认定的,这些数据会得到严格的保护。
陈洋介绍,在用户隐私保护这一方面,百度推行了全员的安全意识培训。新员工在入职的时候,需要通过安全考试。并且,百度每年还会开展“安全宣传月”活动,每月也会进行钓鱼演练。
陈洋称,在技术方面,百度参与共同创建了国内外超过 80 项的安全标准,并且通过了个人信息保护认证(PIP)以及数据安全管理认证(GSM)等具有权威性的资质。同时,百度还是国内首家获得数据安全能力成熟度 4 级认证的企业。
他透露,百度在持续进行漏洞奖励。并且,百度邀请了各界安全领域的专家,以帮助百度持续完善相关技术。
20 多年间,百度未曾发生过数据泄露事件。陈洋向记者表示,之所以如此,是因为有长期运营的机制在起着保障作用。
“反开盒”需要行业联动
对于普通用户,如何保护自己的隐私?
陈洋建议用户分享个人信息时要谨慎,特别是在社交媒体及其他网络平台上,以防泄露真实身份信息。其次要把权限设置好,像把朋友圈设置为仅好友可见,限制陌生人查看自己的微博内容等。安装应用程序时,要仔细查看并慎重授予应用所需权限,避免授予不必要的权限,比如位置信息、通讯录、摄像头、麦克风等权限。
用户不要随意点击来路不明的链接。因为点击这类链接可能会进入钓鱼网站,也可能会感染恶意软件,进而导致个人信息被盗取。
陈洋建议用户采取多样化的网名与密码策略。在不同的平台,应尽量使用不同的账户名和密码。在游戏中或其他网络社区里,要保持匿名或者使用昵称,以此减少被搜索到的可能性。同时,要避免使用简单且容易被猜到的密码,像姓名缩写、生日、电话号码等这类的。
用户需要提高警惕意识。不要轻易相信陌生人的请求和信息。对于一些不明来源的调查、问卷、抽奖等活动,要保持警惕。避免因贪图小便宜而泄露个人信息。
事实上,“开盒”难以根治。原因是其涉及的产业链环节过多。从个人信息的泄露路径方面来看,已经形成了一条灰色的产业链。在链条当中,存在专门从事个人信息收集的团体和个人,也有专门从事泄密的团体和个人。还有专门向泄密源团体购买个人信息数据的中间商,这些中间商会向有需求者买卖、共享并传播各种个人信息数据库。另外,还有专门从中间商团体购买个人信息的个人和团体,并且他们会实施各种犯罪。他们之间的交易涉及境外应用,在支付环节,除了微信和支付宝之外,还涉及 USDT 等虚拟货币。
这意味着,“反开盒”的解决需要平台方面和监管方面共同发力。同时,持有数据的机构也需要投入大量资源来进行维护。这不是短期内能够轻易解决的问题。
现场,百度称在相关政府部门的指导下,愿意积极响应并倡议推动“反开盒”联盟的成立,为受害人提供相应的技术支持,一同加强数据隐私的防护。要清除泄露的信息,同时监测共享黑产的动态,严厉惩治非法的数据窃取和泄露行为。
联盟的落地面临诸多挑战,其中包括技术标准能否统一以及数据共享边界等问题。像各平台的数据加密算法和权限管理体系各不相同,怎样实现跨系统的风险预警,以及一家企业是否愿意为他人的安全投入资源等情况。一位从业者对记者表示,这需要有关部门发挥牵头作用,构建合作框架,促使安全从“成本项”转变为“竞争力”。