最近，“開盒”成了大熱詞。

起因是百度副總裁謝廣軍13歲的女兒在網(wǎng)上對一位網(wǎng)友“開盒”，直接曝光對方身份證號、手機(jī)號、家庭住址，導(dǎo)致其遭遇網(wǎng)暴。

事件曝光后，公眾立刻對百度的數(shù)據(jù)安全性提出質(zhì)疑：難道一個“熊孩子”能輕松通過父親的權(quán)限查看百度用戶數(shù)據(jù)？如果是這樣，百度的隱私保護(hù)豈不是形同虛設(shè)？

面對輿論壓力，百度迅速展開內(nèi)部調(diào)查。安全負(fù)責(zé)人陳洋回應(yīng)稱，公司內(nèi)部對數(shù)據(jù)進(jìn)行了匿名化、假名化處理，并嚴(yán)格執(zhí)行權(quán)限分離制度，任何個人（包括謝廣軍在內(nèi)）都無法直接獲取用戶數(shù)據(jù)。此外，他強(qiáng)調(diào)涉事信息并非來自百度，而是泄露自海外的非法數(shù)據(jù)庫——“社工庫”。

但社工庫真有這么強(qiáng)大？為了一探究竟，我親自“開盒”了自己，接下來就盡可能全面地展示這場讓我起滿“雞皮疙瘩”的體驗(yàn)。

一個殘酷的現(xiàn)實(shí)

社工庫一直都存在

不少人在互聯(lián)網(wǎng)上“裸奔”

社工庫，全稱社會工程學(xué)數(shù)據(jù)庫（Social Engineering Database），是由黑客、詐騙者或其他惡意分子通過網(wǎng)絡(luò)釣魚、網(wǎng)頁抓取、數(shù)據(jù)泄露或系統(tǒng)漏洞等手段，非法收集用戶的姓名、身份證號、各大平臺賬號、密碼等敏感信息，并將其整理成數(shù)據(jù)庫。這類數(shù)據(jù)庫往往被用于“人肉搜索”或作為斂財(cái)工具，在黑市上兜售，助長網(wǎng)絡(luò)詐騙和隱私侵犯。

在谷歌搜索“社工庫”時，相關(guān)結(jié)果中被置頂?shù)氖且粋€GitHub Repo，列出了接近20家提供社工庫服務(wù)的資源，包括網(wǎng)站和Telegram Bot，其中絕大多數(shù)通過Telegram Bot進(jìn)行自動化交易。

為了驗(yàn)證這些服務(wù)的可用性，我隨機(jī)選擇了幾家進(jìn)行測試。

第一家是一個網(wǎng)站服務(wù)，聲稱其收錄了全球多個重大數(shù)據(jù)泄露事件及數(shù)據(jù)，包括億級訂單快遞數(shù)據(jù)、推特2億用戶數(shù)據(jù)等。用戶只需在搜索框中輸入QQ、郵箱、身份證號或手機(jī)號等信息，在支付一定費(fèi)用后，便可獲得詳細(xì)的個人資料。

在我輸入自己的手機(jī)號之后，它給出了該手機(jī)號綁定了某個微信自動付款繳費(fèi)和微博賬號的記錄。

隨后，我嘗試了一些Telegram Bot服務(wù)，其中一家擁有介紹稱：“可以查詢泄漏的身份信息、手機(jī)機(jī)主、開房記錄、快遞地址、貸款記錄、車主信息、常用密碼、社交賬號關(guān)聯(lián)等，請勿濫用。”

在我輸入了一個已知的身份證號之后，系統(tǒng)返回了正確的姓名信息。這是免費(fèi)版服務(wù)，如果需要解鎖更多數(shù)據(jù)，則需支付70 USDT（約70美元）或通過微信/支付寶支付550人民幣成為會員。

為了一探究竟，我開通了會員。然而，沒想到首先迎接我的，就是一個令人寒顫的體驗(yàn)。

在會員服務(wù)中，有一項(xiàng)名為“獵魔”的功能，操作非常簡單——只需輸入三項(xiàng)基本信息：目標(biāo)的姓名、大致出生年份和戶籍所在地，系統(tǒng)就能輸出身份證結(jié)果。

獵魔功能

如果對方的名字較為常見，系統(tǒng)會返回所有符合條件的身份證信息供你篩選；而若名字罕見，結(jié)果往往就是精準(zhǔn)命中。你便能輕而易舉地掌握目標(biāo)的完整身份證號。

一旦掌握了身份證號信息，這就像打開了“魔盒”，接下來你可以選擇“高級人工服務(wù)”，解鎖更為敏感的隱私數(shù)據(jù)，包括但不限于：

戶籍信息：現(xiàn)居住地址、戶口性質(zhì)等；

社保記錄：繳納明細(xì)與參保情況；

犯罪記錄：是否存在案底或涉案歷史；

身份證使用軌跡：酒店入住、車票購票、快遞收發(fā)等活動記錄；

名下資產(chǎn)查詢：房產(chǎn)、車輛、銀行卡號等。

社工庫服務(wù)范圍

這些數(shù)據(jù)的價格按服務(wù)難易程度浮動，從100元到12000元不等，耗時也從幾分鐘到三天不等。也就是在開通會員的基礎(chǔ)上，你想獲得更多的詳細(xì)數(shù)據(jù)，仍然需要額外支付費(fèi)用。

為了驗(yàn)證其真?zhèn)危覈L試了最便宜的服務(wù)。向人工客服提供了自己的身份證號后，幾小時之后，對方便發(fā)來了我的戶籍信息——精準(zhǔn)無誤。

向客服追問數(shù)據(jù)來源時，他拒絕回答，只是強(qiáng)調(diào)“保真”。

在觀察了多個Bot之后，我發(fā)現(xiàn)它們早已形成規(guī)模化運(yùn)營，不少月活用戶已破萬。其中，一個Bot的月活用戶竟高達(dá)4萬多人，其通知頻道的訂閱者更是超過28萬人，可見受眾之廣。

更讓人不寒而栗的是，這些Bot并不滿足于販賣數(shù)據(jù)，還主動收購新數(shù)據(jù)。在Bot的廣告欄中，赫然寫著：

“長期收購社工數(shù)據(jù)，歡迎供應(yīng)商聯(lián)系。”

這意味著，源源不斷的個人隱私信息正被黑市收割，變成非法利潤的燃料。

還有Bot在通知中標(biāo)明：

“本團(tuán)隊(duì)拒絕向16歲以下用戶提供服務(wù)（人窮事多），未滿16歲請勿打擾！”

可見不少青少年也因?yàn)闆_動或好奇，想要使用這樣的服務(wù)。

在這場隱私交易的背后，還有一條隱秘的金融通道——波場鏈（TRON）。

在溝通之后，我注意到這些社工庫服務(wù)幾乎全部推薦用戶通過波場鏈來進(jìn)行USDT支付。USDT是一種與美元1:1掛鉤的加密貨幣，而波場鏈因轉(zhuǎn)賬成本低、速度快且匿名性強(qiáng)，已然成為灰產(chǎn)分子的首選工具。在波場鏈上，USDT被廣泛用于賭博、詐騙、洗錢等非法活動。

根據(jù)Bitrace的報告，2022年9月至2023年9月期間，波場鏈上與非法交易相關(guān)的資金規(guī)模高達(dá)170.7億美元USDT，占比顯著高于其他區(qū)塊鏈網(wǎng)絡(luò)。而波場的創(chuàng)始人孫宇晨，也因與多國監(jiān)管機(jī)構(gòu)存在摩擦，頻繁面臨訴訟，使得該鏈的合規(guī)性與可信度備受質(zhì)疑。

Telegram為信息交流與交易提供“安全”屏障，波場鏈則確保資金流動隱匿且高效，兩者的結(jié)合讓非法交易變得更難追查，讓執(zhí)法機(jī)構(gòu)在數(shù)據(jù)取證、資金溯源和司法追責(zé)上步步受限。

通過Telegram來交易個人信息早已不是新鮮事。早在2020年3月19日，Phala Network 創(chuàng)始人兼 CEO 佟林便發(fā)布調(diào)查文章《隱私一覽無余！微博泄露事件臥底調(diào)查報告》，揭露了黑灰產(chǎn)在 Telegram上經(jīng)營社工庫的亂象。

Phala Network 是一個隱私計(jì)算云平臺，專注于為Web3.0 應(yīng)用提供數(shù)據(jù)隱私保護(hù)和計(jì)算能力。作為隱私計(jì)算領(lǐng)域的創(chuàng)業(yè)者，佟林天然地對數(shù)據(jù)安全尤為敏感。在文章中，他以自己的手機(jī)號為樣本，在社工庫中查詢了姓名、郵箱、密碼等信息，結(jié)果均為本人真實(shí)數(shù)據(jù)，印證了社工庫的真實(shí)性與隱私威脅。

在發(fā)布文章之后，佟林被提供社工庫服務(wù)的灰產(chǎn)從業(yè)者“人肉”了，他不僅遭受了短信轟炸，他的手機(jī)號、真實(shí)姓名、身份證正反面，被散布在近三萬人的Telegram群組中。

“從事這個領(lǐng)域的都知道社工庫，大家也清楚自己在網(wǎng)上其實(shí)是裸奔的。但絕大多數(shù)從業(yè)者不會挑明揭露這件事，因?yàn)檫@會影響自己的安全。”佟林說。他也坦言，追查幕后主謀的難度極大，想要找到真正的源頭幾乎不可能。

“隱私至上”的Telegram

為什么成了灰產(chǎn)的溫床？

2013年，Pavel Durov及其兄弟Nikolai Durov在俄羅斯創(chuàng)立了Telegram，希望能為用戶提供一個安全、私密且免受政府監(jiān)控和黑客攻擊的消息平臺。弟弟Pavel Durov 作為 Telegram 的門面和發(fā)言人，活躍在臺前，而哥哥Nikolai Durov 則更多重心在幕后技術(shù)開發(fā)。

Pavel Durov

從創(chuàng)立之初Telegram便注重隱私保護(hù)，其設(shè)計(jì)理念圍繞著云架構(gòu)、端到端加密和自毀消息等功能展開。此外，Telegram對審查的拒絕也是其核心優(yōu)勢之一，這使得它區(qū)別于WhatsApp等主流社交平臺，吸引了全球大量注重隱私和言論自由的用戶。

2018年，俄羅斯政府因Telegram的加密功能及其拒絕交出加密密鑰，試圖封鎖該應(yīng)用。Pavel Durov堅(jiān)決反抗，公開宣誓不遵從俄羅斯當(dāng)局的要求，最終導(dǎo)致Telegram在俄羅斯被禁。

Telegram堅(jiān)守隱私、自由和去中心化的立場，贏得了大量忠實(shí)用戶，特別是在那些對政府干預(yù)和監(jiān)控高度敏感的國家。它成為了一個沒有審查、無束縛的溝通空間，吸引了全球各地那些追求隱私保護(hù)、言論自由以及安全溝通的用戶群體。

然而，這種立場也為非法活動提供了生存的土壤。由于其端到端加密技術(shù)的強(qiáng)大保護(hù)，平臺上的消息內(nèi)容難以被追蹤和審查，使得一些灰產(chǎn)從業(yè)者、犯罪分子甚至恐怖組織找到了便利的溝通渠道。對于社工庫來說，Telegram是一個理想的藏身之所，既能保證信息傳播的效率，交易的絲滑進(jìn)行，又能有效規(guī)避監(jiān)管和打擊。

正因如此，越來越多的國家和監(jiān)管機(jī)構(gòu)開始要求Telegram加強(qiáng)對非法內(nèi)容的監(jiān)控與管理，以確保其平臺不被濫用，尤其是在涉及恐怖主義、毒品走私、詐騙和未成年保護(hù)等方面。

2025年2月，澳大利亞在線安全監(jiān)管機(jī)構(gòu)因Telegram未及時處理平臺上的恐怖主義和兒童虐待內(nèi)容，向其罰款近100萬澳元。

Pavel Durov本人更是于2024年8月24日在巴黎附近的機(jī)場被法國警方逮捕，面臨多項(xiàng)指控，其中包括未能有效遏制Telegram平臺上的犯罪活動，協(xié)助傳播兒童性剝削材料、毒品交易、欺詐以及拒絕配合執(zhí)法部門的要求等。這也是首次有科技公司高管因其平臺上發(fā)生的犯罪活動而被逮捕。

Pavel Durov被法國警方逮捕的新聞

被捕后，Pavel Durov被禁止離開法國，并被置于司法監(jiān)督之下。直到2025年3月17日，法國檢察官辦公室宣布暫時解除了對Durov的旅行禁令，他已返回迪拜的家中，但需要在4月7日之前回到法國。

Pavel Durov在自己的Telegram頻道上回應(yīng)稱，調(diào)查仍在進(jìn)行，并強(qiáng)調(diào)Telegram始終履行并超越了法律義務(wù)，在內(nèi)容審核、與政府合作以及打擊犯罪方面做出了大量努力。他的律師團(tuán)隊(duì)也在積極辯護(hù)，試圖證明Telegram并未有意放任犯罪行為。

Pavel Durov在3月17日宣布已經(jīng)返回到迪拜家中

盡管面臨法律和輿論壓力，Telegram的用戶規(guī)模仍在持續(xù)增長。最新數(shù)據(jù)顯示，Telegram的月活躍用戶數(shù)已突破10億，日均使用時長達(dá)41分鐘，成為全球第二大即時通訊應(yīng)用，僅次于WhatsApp（此排名不包含微信）。

Pavel Durov在3月19日宣布Telegram月活用戶突破10億

不得不承認(rèn)，雖然Telegram為社工數(shù)據(jù)的交易提供了平臺，它僅僅是這個產(chǎn)業(yè)鏈的中下游環(huán)節(jié)。即使平臺加強(qiáng)了監(jiān)控和審查，若源頭沒有得到有效的管控，問題依然難以根治。

以Phala Network創(chuàng)始人佟林為例，他在Telegram上發(fā)現(xiàn)了自己的個人信息泄漏，而這些信息最初通過微博泄露出去。2020年3月，微博發(fā)生了大規(guī)模的數(shù)據(jù)泄漏事件，數(shù)億用戶的敏感數(shù)據(jù)，包括手機(jī)號碼、用戶ID、昵稱、頭像、粉絲數(shù)及所在地等，均被泄露。這些數(shù)據(jù)最終流入黑市，并通過Telegram等平臺進(jìn)行非法交易。

在之前提到的社工庫網(wǎng)站上，它毫不避諱地列出了數(shù)據(jù)來源：億級訂單快遞數(shù)據(jù)、廣東駕校學(xué)員信息、閱文集團(tuán)2000萬用戶數(shù)據(jù)、陌陌3000萬條用戶信息等，觸目驚心。更諷刺的是，連一向標(biāo)榜安全與隱私的Telegram也未能幸免，其4000多萬被泄漏的用戶數(shù)據(jù)也在社工庫收錄范圍內(nèi)。

無論是電商平臺、社交媒體、金融機(jī)構(gòu)，還是其他托管用戶數(shù)據(jù)的企業(yè)，都必須承擔(dān)起保護(hù)數(shù)據(jù)安全的責(zé)任。在數(shù)據(jù)收集和存儲過程中，企業(yè)應(yīng)通過強(qiáng)有力的加密技術(shù)來確保數(shù)據(jù)安全，同時加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，確保符合合規(guī)性要求。

如果企業(yè)未能采取有效的安全措施，如加密、數(shù)據(jù)審計(jì)、身份驗(yàn)證等，黑客就能通過釣魚攻擊、SQL注入等手段輕易獲取大量用戶數(shù)據(jù)。一旦這些數(shù)據(jù)泄漏，它們便成為社工庫的一部分，進(jìn)而被轉(zhuǎn)化為灰色產(chǎn)業(yè)的商品。

只有從源頭上加強(qiáng)數(shù)據(jù)保護(hù)，才能有效避免數(shù)據(jù)泄漏，并防止它們流入像Telegram這樣的非法交易平臺。這不僅是技術(shù)層面的挑戰(zhàn)，更是企業(yè)和社會的共同責(zé)任。

歐美歷史上的幾次重大數(shù)據(jù)泄漏事件

都是如何處理的？

在數(shù)據(jù)保護(hù)立法方面歐美國家領(lǐng)先于我們，那么他們是如何應(yīng)對數(shù)據(jù)泄漏事件的？我盤點(diǎn)了幾個典型案例：

1. Equifax數(shù)據(jù)泄漏事件

2017年，美國的消費(fèi)者信用報告機(jī)構(gòu)Equifax遭遇了嚴(yán)重的數(shù)據(jù)泄漏事件，影響了1.47億美國公民、1520萬英國公民以及約19,000名加拿大公民的敏感數(shù)據(jù)。這些信息包括社會安全號碼、出生日期、地址以及駕照號碼等。

賠償方案：作為與美國聯(lián)邦貿(mào)易委員會（FTC）、消費(fèi)者金融保護(hù)局（CFPB）和50個州達(dá)成的和解協(xié)議的一部分，Equifax同意向受影響的美國消費(fèi)者支付多達(dá)7億美元的賠償金。受影響的客戶不僅可以獲得現(xiàn)金賠償，還可以選擇接受信用監(jiān)控服務(wù)。此外，Equifax還為消費(fèi)者提供了免費(fèi)的身份盜竊保護(hù)服務(wù)。對于那些遭遇財(cái)務(wù)損失的客戶，還可以申請額外的補(bǔ)償。

2. British Airways數(shù)據(jù)泄漏

2018年，British Airways（BA）遭遇了數(shù)據(jù)泄漏，導(dǎo)致約50萬名客戶的信用卡信息、個人身份信息和支付數(shù)據(jù)被泄露。這些信息被黑客通過網(wǎng)站的漏洞盜取。英國信息專員辦公室（ICO）對此展開調(diào)查，并指責(zé)BA未能保護(hù)用戶數(shù)據(jù)。

賠償方案：BA被罰款1.83億英鎊，并向受影響的客戶提供退款、額外的身份保護(hù)服務(wù)以及一定形式的經(jīng)濟(jì)賠償。

3. Marriott國際酒店數(shù)據(jù)泄漏

2018年，Marriott國際酒店集團(tuán)披露了一個大規(guī)模的數(shù)據(jù)泄漏事件，約有5億名客戶的個人信息被黑客竊取。泄漏的內(nèi)容包括客戶的姓名、護(hù)照號碼、地址、電話號碼、電子郵件地址、日期等。

賠償方案：Marriott在事后宣布，將為受影響的客戶提供免費(fèi)的身份保護(hù)服務(wù)，包括信用監(jiān)控和欺詐檢測。在美國和歐洲，許多受影響的客戶可以獲得相應(yīng)的補(bǔ)償。此外，Marriott還面臨了一些國家監(jiān)管機(jī)構(gòu)的罰款，例如英國信息專員辦公室對Marriott公司處以了9900萬英鎊的罰款。

可以看出，由于歐美在數(shù)據(jù)保護(hù)方面立法較早，具有成熟的法律體系和監(jiān)管機(jī)制，并且在法規(guī)深度和執(zhí)行力度上仍領(lǐng)先，尤其是在罰款機(jī)制和跨境數(shù)據(jù)保護(hù)方面。

中國的《個人信息保護(hù)法》（PIPL）和《數(shù)據(jù)安全法》分別在2021年實(shí)施，標(biāo)志著中國在數(shù)據(jù)保護(hù)方面的重要進(jìn)展。這些法規(guī)加強(qiáng)了數(shù)據(jù)處理的合規(guī)性要求，如數(shù)據(jù)同意、訪問、刪除和糾正等權(quán)利，但在執(zhí)行細(xì)節(jié)和力度上仍有待加強(qiáng)，未來隨著市場和技術(shù)的發(fā)展，可能逐步彌補(bǔ)這一差距。

除了法律層面的約束，企業(yè)在數(shù)據(jù)泄漏事件發(fā)生后，如何應(yīng)對同樣至關(guān)重要。透明化的信息披露、及時的補(bǔ)救措施以及良好的用戶溝通機(jī)制，能夠有效減少用戶的不安，降低企業(yè)的聲譽(yù)損失。企業(yè)應(yīng)承擔(dān)相應(yīng)責(zé)任，提供身份保護(hù)、信用監(jiān)控等服務(wù)，并建立合規(guī)體系，以確保未來的數(shù)據(jù)安全。

當(dāng)然，也希望企業(yè)和數(shù)據(jù)托管機(jī)構(gòu)能吸取教訓(xùn)，在追求商業(yè)利益的同時，肩負(fù)起對用戶數(shù)據(jù)的保護(hù)責(zé)任，讓社工庫徹底消失。

至于我們普通人能做些什么？我的建議是：減少在小平臺留信息，選擇可信的大平臺；限制APP權(quán)限，關(guān)閉不必要授權(quán)；身份證復(fù)印件打水印，標(biāo)注用途防止濫用；避免蹭WiFi，防止數(shù)據(jù)被劫持；社交平臺少曬隱私，防止被不法分子利用；警惕數(shù)據(jù)共享，使用隱私瀏覽器。

希望在未來，我們每個人都能衣冠整齊地行走在互聯(lián)網(wǎng)上，而不是赤裸奔跑。