百度数据安全措施详解:用户隐私保护与海外社工库调查
首先,百度在内部对数据进行了匿名化和假名化的处理;其次,数据的存储与管理实行了严格的隔离以及权限的分离,无论是任何职级的员工还是高管,都没有权限去触碰用户数据。接着,百度的安全部门多次调取了相关的日志,并且查验了当事人的权限。最终的结果显示,开盒信息并非是从百度这里产生的。
其次,经过调查得知,“开盒”信息源自海外的社工库。这个社工库是一个通过非法手段来收集个人隐私信息的数据库。相关的调查过程已经获取了证据,并且该调查过程还得到了公证机关的公证。
网上流传着“当事人承认家长给她数据库”的截图,然而此截图内容是不实信息。在事件进行期间,社交媒体上出现了许多文案高度相似的造谣内容。对于这些相关的网络谣言,百度已经向公安机关进行了报案。
一名 13 岁的小女孩能够轻易获得他人的隐私信息。这一情况再次引发了公众的担忧,公众担忧个人信息会被泄露。同时,这也引发了对于饭圈不良文化的讨论。
“开盒”背后的黑产链条
百度调查组提及的 Telegram 是一个海外的加密社交网络平台,在近些年当中已经变成了黑灰产的主要交易场所。
Telegram于 2013 年创立,是由俄罗斯人帕维尔·杜罗夫兄弟在美国创办的。它是一个加密的社交网络平台,具备秘密聊天的功能,还有阅后即焚的功能,并且能定期删除账户。
Telegram 秉持绝对保护用户隐私的理念,它拒绝接受任何政府的监管。正因如此,它不仅成为了个人信息贩子的乐园,还聚集了大量的非法交易,其中包括军火交易和色情产业交易,甚至被恐怖主义组织所利用。
在 Telegram 的搜索框中输入“社工库”等关键词,财经 E 法的搜索结果里出现了多个社工库的群聊以及频道。这些群聊的用户数量和频道的订阅数量都超过了一万人,其中有一个频道的订阅数量达到了 38 万人。
社工库是社会工程学中的一项关键资源。社会工程学是在探讨人类社交与心理行为方面的一门技术,通过欺骗与操纵的手段来获取信息。在数字时代,这种攻击方法变得越来越精密,而社工库也就成为了黑客和攻击者的重要工具。
(部分社工库的订阅人数高达几十万人)
这些社工库群聊和频道能够进行多种个人信息的查询。其中有社交媒体数据的查询。还有在线教育网站用户信息的查询。以及游戏平台数据的查询。同时包含银行信息的查询。也有住宿信息的查询等。
(社工库群聊和频道提供多种个人信息的查询)
在某一社工库的自助查询群聊里,用户要是按照特定的格式输入关键词,就可以查询到对应的信息。
笔者在系统里输入了自己的姓名,过了几秒钟,在群聊中出现了几十页有相同姓名的人员信息,这些信息包含手机号、身份证号、所在地等。笔者在这些信息中找到了自己的信息,并且发现身份证号、手机号等关键信息都是准确无误的。
笔者接着先后发送了 5 位亲友的姓名,这些姓名都能够查询到对应的本人准确的身份证号和手机号码。
笔者向系统发送了自己的手机号。之后发现,查询结果中出现了多条信息。这些信息包括自己的快递收件地址、微博 ID、微信 ID,还有大学时期线上课堂的注册信息等。
此外,查询者能够看见其他用户的查询结果。有些查询结果甚至能够看到被查询人的银行账号以及部分线上账号的密码。
在群组中,各类卖家不断发布消息出售个人信息。这些信息涵盖了个人户口、家庭户口等。还有手机号查机主的信息。以及名下银行卡的信息。包括淘宝收货地址的信息。也有微博反查的信息。还有微信反查的信息。以及快递单号查询收货地址的信息。同时有住宿记录的信息。还有出行记录等各类个人信息。几乎涵盖了所有方面。
网络安全机构“知道创宇 404 实验室”的总监隋刚指出,社工库的数据具备如此精确的特点并且体量十分巨大,其原因是在互联网服务处于野蛮生长的时期,沉淀下了大量的个人隐私数据。同时,像医美机构这类的实体店铺也成为了数据泄露的特定渠道。
中国在 2021 年 1 月 1 日开始施行《个人信息保护法》。此法律的目的是保护个人信息的权益,对个人信息的处理活动进行规范,推动个人信息的合理利用。法律明确表明,自然人的个人信息是受法律保护的,任何组织和个人都不可以侵害自然人的个人信息权益,违法的人有可能会被追究刑事责任。
此后,有关部门持续打击侵犯个人信息的行为。然而,个人信息非法交易转向了外网平台和利用虚拟货币支付,这使得交易更加隐蔽且难以追溯源头。正因如此,个人信息泄露和被侵犯的事件时常发生。
3 月 18 日,公安部披露了相关信息。2024 年共侦破侵犯公民个人信息犯罪案件 7000 余起。同时公布了 10 起典型案例。这些案例涉及北京、甘肃、吉林、四川、广东、江苏、山东、河北等省市。涉案者通过各种非法渠道获取他人个人信息并出售牟利。
中国电子技术标准化信息安全中心测评实验室的副主任何延哲之前曾表明,近些年来的个人信息泄露情况,通常存在三个来源。一是存在“黑客”等外部力量,他们会攻击数据库,通过技术手段把内部信息盗取走;二是那些存储着海量数据的机构,其内部人员会利用系统管理权限,将数据获取后流出;三是在使用第三方网络平台时,用户会把个人信息提交给平台,然而这些平台的防护措施不完善或者没有按照约定来存储和使用数据,从而导致信息泄露。
“开盒”成饭圈陋习
谢广军的女儿“开盒”事件,起因是有一位网友对一位韩国女团成员的行程作出了非正面的评论。谢广军的女儿是该女团成员的粉丝,她通过“开盒”这种方式来发泄心中的愤恨。
一直以来,“开盒”与饭圈文化有着紧密的联系。一位资深 KPOP 粉丝小 yo(化名)称,在饭圈里,粉丝们为了守护偶像的形象,会采取非法手段去获取并公开他人的隐私信息,进而对他人进行网络暴力,以此来报复那些对偶像发表负面评价的人,这种现象较为常见。当有负面评论针对偶像时,粉丝或许会借助网络进行搜索,以获取此人的个人信息,而后在社交平台上将其公开,这样就可能引发网络暴力。
2023 年 5 月,美食领域的网红“杰克辣条”进行了“处刑式虐猫”视频的拍摄并予以上传,这引发了公众的关注。接着,张馨予、赵露思、王一博等明星公开对“处刑式虐待动物”的行为进行了谴责。随后,这些明星遭遇了不法分子的“开盒”行为,他们的身份证号、手机号、社保卡等个人信息被曝光了出来。
2023 年 9 月,主持人杨迪发文称。自己遭遇了“开盒”情况,个人信息被泄露出去了。之后他收到了许许多多的骚扰电话。在这种无奈的情形下,他只得更换手机号。
小 yo 观察到,“开盒”这一行为起初主要是针对明星的。之后,它逐渐扩散到了网红以及 UP 主那里。甚至普通网友也未能幸免,“开盒”行为逐渐蔓延到了他们身上。
2022 年,游戏玩家群体“仙家军”为维护某款游戏,对持不同意见的玩家实施了“开盒”行为,并且将“开盒”范围拓展到了受害者全家,致使受害者遭受到了电话骚扰、恐吓以及网络暴力。
2023 年,B站 通报了一起案例。这是一起“开盒”案例。某群体在境外平台有组织地进行一些行为。他们煽动用户对站内 UP 主“开盒”。他们公开了 UP 主的个人信息。他们还对 UP 主进行电话骚扰。他们对 UP 主进行网暴攻击。他们对 UP 主进行恶意举报。该事件涉及 18 个省市。违法者有 40 余人。这些违法者主要为未成年人。
2023 年,大学生金萌进行了举报网络上兜售虐猫视频的行为。之后,她的个人信息在境外软件群聊中被泄露了,并且被“开盒”。接着,她收到了大量的骚扰电话和短信,生活因此受到了严重的影响。
这一现象同样也引起了监管部门的重视。
2023 年 11 月 7 日,中央网信办开启了“清朗·网络戾气整治”专项行动。该行动要求严格查处那些违规的账号、群组以及贴吧。同时,要深入排查存在高风险的账号和群组。并且要坚决取缔那些以“网络厕所”“开盒挂人”“拉踩引战”等作为主题的账号和群组。
2024 年 6 月,国家网信办、公安部、文化和旅游部以及国家广电总局共同公布了《网络暴力信息治理规定》。此规定自同年 8 月 1 日开始施行。
《网络暴力信息治理规定》明确,网络信息服务提供者需承担网络信息内容管理的主体责任。同时,要建立起完备的网络暴力信息治理机制,并且将用户注册、账号管理、个人信息保护、信息发布审核、监测预警、识别处置等制度加以健全。
规定要求,网络信息服务提供者一旦发现包含网络暴力信息的网络视听节目、网络表演、网络直播、短视频、跟帖评论等内容,就应当立即删除、进行屏蔽、关闭评论,并且停止提供相关服务等。与此同时,对于涉及网络暴力违法和不良信息的账号,要采取处置措施,像限制功能、暂停使用、注销账号等。