摘要:23点28分,记者的手机页面不断有消息弹出——“开盒”群组里,90217个匿名账户正进行着个人信息交易。机器人客服每隔2秒吐出一条报价信息,不到5分钟,未读消息就像癌细胞扩散一般快速增长到999+。
本刊记者 郭霁瑶
23点28分,记者的手机页面不断有消息弹出——“开盒”群组里,90217个匿名账户正进行着个人信息交易。机器人客服每隔2秒吐出一条报价信息,不到5分钟,未读消息就像癌细胞扩散一般快速增长到999+。
此刻,西部省份的一名男性不会知道,自己的奶茶外卖备注“少冰”“5分糖”,正作为服务案例被9万多人围观。
在这里,个人信息作为商品被明码标价,签到即可解锁姓名手机号,80元能在几秒内获取身份证正反面扫描件,320元则能获取全方位的生活轨迹:从全省社保记录到名下银行卡号,从外卖订单到常用地址,甚至还有全家户籍……
而这只是网络“开盒”的冰山一角。“开盒”,即利用非法手段公开曝光他人隐私数据与信息,意思是“打开盒子揭露隐私”“把某人的信息在网上挂出来”。近年来网络“开盒”愈演愈烈,为了追踪这背后的灰色产业链,《中国经济周刊》记者潜入多个“开盒”群组,探寻普通人与恶的距离究竟有多近。
饭圈撕架的 “盒武器”
“两年前我就说过你该写这个选题,这事儿就没停过。”三三举着手机对记者说,屏幕定格在某明星话题帖下的评论区——不少粉丝叫嚣着“等着被‘开盒’”“开到你奶奶辈”。这位追星10年的“饭圈老人”对“开盒”早已麻木:“各家大粉的个人信息在饭圈几乎都是公开的。毕竟每次撕架,他们都在‘开来开去’,我们管这叫‘盒武器’。”
今年春节,三三的“爱豆”遭“私生粉”(对偶像私生活过度关心的粉丝)电话轰炸,对方正是通过“开盒”群购买的手机号。该明星愤而发博控诉后,其反黑组粉丝旋即在社交平台晒出“战果”——私生粉的户籍、真实姓名、身份证号和手机号。
“各家互骂的时候,你在社交平台搜明星名字,首页经常‘飘着’各种手机号,那都是‘开盒’的成果。”三三撇撇嘴说。
真正让“开盒”破圈的,是近期百度高管之女“开盒”素人事件。
今年3月,某韩娱营销号在社交媒体发布韩国艺人张元英行程相关内容,称其看秀当天往返是魔鬼行程。一名孕妇留言称其坐头等舱不算辛苦,引发部分粉丝不满,随后惨遭“开盒”,其姓名、身份证号、孕检报告、丈夫工作单位等被全网传播,甚至声援该孕妇的网友也被连带“开盒”。这场始于粉圈撕扯的闹剧,因百度副总裁之女参与“开盒”行为,最终演变为全网关注的热点事件。
“你以为不混‘饭圈’就安全?”三三突然在手机调出某生活类的微博超话,许多帖子都在求“开盒”,相关留言区还有不少人“接单”。“这玩意儿现在就像点外卖一样简单。我都不敢在网上随便发言,怕一不注意火就烧到自己身上。”
在“开盒大战”中,社交平台既是“盒战争”的主战场,又是“战利品”的陈列馆。那么平台是否负有责任?
“平台应该扮演‘数字守门人’的角色。”泰和泰律师事务所高级合伙人谢执胜在接受本刊记者采访时说,当平台监测到受害者的敏感信息被泄露传播或接到相关举报时,应该立即采取措施阻断信息扩散,防止损害扩大化。“平台应当建立与其服务性质、规模相适应的内容审核机制,对含有‘查户口’等违法关键词的,应通过技术手段主动识别并封禁。”
“开盒”群内的报价表 图片来源|群内截图
记者卧底 “开盒群”:不开公务员和记者
“想知道身份信息怎么来的?”三三的手指叩了叩屏幕上的纸飞机logo,“下个Telegram就明白了。”随后,她的表情又变得严肃起来:“进群不要随便说话,小心那些‘疯子’,他们真敢顺着网线摸到你家门口。”
三三所说的“Telegram”是海外一个以加密通信著称的社交软件。记者在海外搜索引擎上输入“开盒群”时,跳出的几乎都是Telegram的群组,甚至有测评文章为这些群组进行排名。
这些群组也有一个专业术语——社工库。中国电信研究院战略发展研究所战略中心总监孙洁告诉记者,社工库的全称为社会工程学数据库,是黑客与大数据结合的一种产物。黑客们将泄露的用户数据整合分析,然后集中归档为结构化数据库。
“这些‘社工库’本质是一个庞大的数据黑市。”孙洁说。
无须身份审核,没有验证信息,记者下载Telegram后,10分钟不到就加入了5个均为万人规模的社工库。整个过程相当“丝滑”。
最热闹的当数一个9万人的群组。刚一进群,迎面而来的就是铺天盖地的信息轰炸。机器人客服持续不断地推送报价单:32元查询名下手机号,80元解锁身份证号,320元可全方位查询各类信息,包括社保记录、全家户籍以及外卖地址等。某位用户刚发出“cx/13xxxxx(电话号码)”的查询指令后,1秒不到机器人自动回复对应的身份证号。记者甚至来不及截图保存证据,几秒时间聊天界面又刷新了十几条新的交易信息。
在入群的一周里,信息碎片在聊天框里被疯狂交易:9万双电子眼围观着年轻男性的身份证特写,中年人的婚姻史被做成表格在群文件里公开下载,某位女性的医疗就诊记录正在被用作“服务案例”发送……
记者甚至在群里窥见了一位西部省份男性连续多日的外卖订单,上面的奶茶备注“少冰”“五分糖”清晰可见。客服还附上了这名男性家门口的照片,并配上文字:“地址的门牌号被打了码,但是有概率能找到外卖小哥拍的门牌。”
更令人窒息的是,该群还提供人脸识别业务。上传人像照片,甚至是视频截图,便能识别照片对象的身份信息。
“出单就保真,不保真不出单。”客服的自动回复显示出对其业务的自信,“别用你的业余质疑我的专业。”
客服还特别提醒,不开记者、公务员、央国企职员等职业。“不要抱有侥幸心理,要清楚你开的对象是什么人。”
“社工库的运作模式远比公众想象的更系统化。”孙洁向记者解释了这条灰色产业链上的分工:上游“黑客”负责攻击和窃取数据;中游“清洗团队”将原始数据去重、分类、关联(例如将身份证号与名下手机号、社交账号绑定);下游“分销商”则通过Telegram、暗网论坛按需售卖,甚至提供“包年会员”服务。
值得注意的是,除了日常的报价信息和交易回复,群内客服也经常发送合作广告,招募银行、通信等领域的工作人员合作,进行数据采买。
“行业“内鬼”已成为数据泄露的重灾区。”孙洁提醒,部分违法分子甚至会伪装成第三方合作商,通过“合法身份”接入企业数据库后窃取数据。
终结这场 “数据围猎”
“我时常想,要是我也被‘开盒’该怎么办。”三三无奈地笑着。在数据裸奔的时代,任何人都可能成为猎物。
对此,谢执胜给出了几点建议:保存证据是第一道盾牌,可采取自行取证、公证取证、电子取证平台等方式记录被泄露信息的发布者、发布时间、转发量、点击量及评论等,尽可能完整地保存证据;第二道防线则是截断传播链,要求平台介入,对信息进行删除屏蔽、断开链接,或与发布者沟通要求其删除相关信息;当伤害已经造成,投诉和法律诉讼也是反击武器。
“可以向主管部门投诉,要求处理泄露事件。另外也可寻求法律帮助,依法提起民事诉讼,要求泄露信息者承担相应民事责任,对于情节严重构成刑事犯罪的,可以向公安机关报案。”谢执胜说。
孙洁则从制度层面提出建议:“今天的黑产已不是散兵游勇,而是有组织、有技术、有资金的‘网络雇佣军’。个人防护固然重要,但更需要制度性反击。”
具体来看,孙洁认为,企业端应推行“隐私计算技术”(指在保护数据本身不对外泄露的前提下实现数据分析计算的技术集合),确保数据“可用不可见”;产业端可参考欧盟《通用数据保护条例》,建立“数据泄露强制报告制度”,严惩瞒报行为;政府方面,则是建议加强法律监管,明确“人肉开盒”与“隐私权侵害”的界限。
“只有让违法成本远高于收益,才能终结这场‘数据围猎’!”孙洁说。
来源:中国经济周刊一点号