百度副總裁謝廣軍女兒“開盒”事件，持續(xù)引發(fā)外界對數據安全的擔憂。他在回應中提到，女兒是從海外社群網站上獲得他人隱私信息并發(fā)布。

這個海外社區(qū)的核心，就是“社工庫”。

以“社工庫”數據為核心，在海外社交平臺上大張旗鼓倒賣數據、招募公檢法內部人員的群組并不少見。在單個群組內，不斷有人查詢并披露他人的名字或手機號，基礎信息為機器人自動回復。若要更為隱秘的信息，則要添加“社工庫”的客服花錢購買。

“社工庫”是什么？

數據洶涌

“社工庫”的存在歷史悠久，甚至比這個惹事的小女孩的年齡更長。至少15年前，就有大量媒體披露過，在“社工庫”上，能搜羅到大量個人信息。

可時至今日，解決不了的核心痛點恐怕在于，平臺和服務器都不在中國境內，海量信息單向流出后，技術上難以溯源，追蹤成本巨大。這也是你不時能接到來自緬北電詐園區(qū)的電話，被各種推廣短信騷擾的原因。它們不少都來自這些隱秘的渠道。

引爆信息泄露最大爭議的事件恐怕很多人已經記憶模糊：2016年，山東數十萬考生信息泄露，來自山東的18歲女孩徐玉玉，因為把9 900元學費打到騙子的賬戶而發(fā)生心源性休克，不幸去世。

以至同年，《中華人民共和國網絡安全法》迅速問世，并頒布實施。其中明確，嚴禁任何個人和組織竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。違反者，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得一倍以上十倍以下罰款；如果沒有違法所得的，處一百萬元以下罰款。

但因信息泄露出現的惡性事件仍然層出不窮。開房數據、打胎記錄、銀行流水、司法口供、婚姻記錄、社保記錄……在某“社工庫”社群里，公然列出了52種待查、可查的數據信息，從居民檔案、人物定位、銀行信息、司法案件，宣稱只有你想不到的問題，沒有你查不到的數據。

2025年初，公安部發(fā)布一條新聞，2024年，按照公安部統(tǒng)一部署，全國公安機關深入推進“凈網”專項行動，全年，共偵破數據泄露相關案件7 000余起，抓獲一批犯罪嫌疑人。

然而根據網安創(chuàng)新聯盟和零零信安聯合發(fā)布的信息泄露檢測報告，全球性相關信息泄露事件仍舊層出不窮：

2025年3月2日，有售賣者在“社工庫”發(fā)布一份國內某智慧校園系統(tǒng)平臺的數據，共10萬條，內容包括姓名、ID、密碼等。

2025年3月4日，有售賣者在“社工庫”出售一份越南海軍的數據資料，共987萬條，內容包括姓名、性別、ID和密碼等。

2025年3月5日，有售賣者在“社工庫”以350美元的價格出售一份國內某銀行辦理信用卡的客戶信息數據，共8萬條，內容包括姓名、性別、出生日期、手機號和身份證號等。

2025年3月5日，有售賣者在“社工庫”出售一份塞爾維亞共和國文化部的政府內部文件，共 4TB，內容包括姓名、地址和電話等。

2025年3月7日，有售賣者以400美元的價格在“社工庫”出售一份日本厚生勞動省的政府內部數據，共2 000萬條，內容包括姓名、電話、地址和郵箱等。

這些信息是因何泄露、如何流通，又是如何引發(fā)一系列社會事件的？

暗查

《商界》記者設法進入到一個“社工庫”內部群，發(fā)現群里正在以“日入過萬，絕不吹?！钡泥孱^發(fā)布營銷信息，大量招募公安、銀行、運營商、工商和快遞等渠道內部人員。

我們以工商人員的身份與相關人員接觸。對方異常謹慎，絲毫不會泄露任何一點背景資料，但卻向我們尋求身份認證，并丟過來一個名字，讓我們在工商系統(tǒng)里查到這人的工商相關信息作為佐證。并承諾，查一單給我們提成20元，一天穩(wěn)定有上百單。如果能夠達到500單，就能日入萬元了。

當我們以風險太大為由，想繼續(xù)跟對方糾纏時，對方說了6條保證安全的措施：

1.會送給我們一部專門的iPhone15手機，內置所有軟件，到手開機即可專線對接；

2.會提供無須實名的境外流量卡，無需實名的1對1微信；

3.有專業(yè)人員幫助解決各類業(yè)務怎么出單，保證快速上手；

4.會有專業(yè)培訓人員培訓如何規(guī)避風險，完美去水印等；

5.對方所有團隊人員均不在中國大陸；

6.可以選擇現金、黃金、購物卡等各種結算方式。

我們重新以用戶的名義，進入到一個“社工庫”社群，嘗試這類社群提供的數據和信息的準確性。開始，我們隨便在網上找了一個女生的自拍照，支付后，對方很快就發(fā)來了這名女生的“PLC·公安部全國人口信息庫”的截圖。姓名、性別、民族、身份證號碼、戶口地址等身份證主要信息一應俱全。

我們仍舊懷疑數據的匹配真實性，于是在爭取同事同意后，冒著信息被泄露的風險，支付費用后查詢了他的開房記錄。3天后結果反饋回來，他5年的出差記錄，從入住和離店時間、同住人員姓名和身份證號，酒店位置、房號等，一應俱全。

當我們以好奇為由，詢問對方數據從哪里來時，對方只發(fā)過來一個微笑的表情。

我們又以“社工庫”為關鍵詞，在境外某社交平臺搜索相關社群，有高達834頁的社群信息。即使按照每頁10個社群估算，提供相關黑色數據服務的社群也高達8 340個。其中有多個顯示高達35萬、11.1萬等用戶的“十萬加”社群。

某安全團隊2023年的研究報告顯示，平均每個中國網民的隱私數據在黑市被轉賣超過12次，完整的個人檔案（含身份證號、手機號、住址、消費記錄）標價200—500元不等。在暗網論壇中，一份包含2.7億條記錄的“中國公民簡歷數據庫”售價僅0.5比特幣。

我們又咨詢了數據安全相關專家，還原了這條黑色數據產業(yè)鏈的閉環(huán)商業(yè)邏輯。

“社工庫”（Social Engineering Database）實質是黑客通過非法手段獲取的個人信息聚合庫。不同于普通數據庫，它采用“信息拼圖”模式：從電商平臺的購物記錄、社交媒體的動態(tài)軌跡，到酒店住宿的登記信息，各類碎片數據通過AI算法重組，最終形成完整的個人畫像。

第一步：數據采集

一般有3種方式進行數據采集。撞庫攻擊：利用泄露的賬號密碼組合嘗試登錄其他平臺（2022年某視頻網站6.8億條數據泄露事件）。釣魚攻擊：偽裝成正規(guī)App/網站的惡意程序（2023年某政務平臺仿冒網站日均訪問量達3萬次）。內鬼交易：如某快遞公司前員工曾以每條0.8元價格倒賣20萬條客戶信息。

第二步：數據加工

專業(yè)“洗數”團隊會對原始數據進行：去重合并（消除重復信息）；時空關聯（通過Wi-Fi連接記錄還原活動軌跡）；消費畫像（分析支付記錄構建消費能力模型）。

第三步：精準販賣

根據買家需求提供差異化服務：普通查詢：單次身份證反查收費50元；深度調查：包含通訊錄+行蹤軌跡套餐收費2 000元；定制服務：某商務咨詢公司曾購買企業(yè)家全年行程監(jiān)控，年費高達12萬元。

狩獵和獵物

上當受騙幾乎是所有初次接觸“社工庫”的人的必經之路。小楷（化名）第一次使用“社工庫”就被騙了。他因為在某平臺購買一件物品，付完錢后不滿意，但對方不理他了。他很不甘心，于是想借助“社工庫”，查對方的地址，威脅一下對方。

他在某境外社交平臺隨意輸入“社工庫”，首先映入眼簾的就是一個有幾百人的“社工庫”群組。他翻了翻歷史聊天記錄，發(fā)現里面密密麻麻的都是一個個名字、一串串數字組成的手機號或者身份證號碼。

一個名為“深網·‘社工庫’”的人發(fā)來一條信息，還貼出一張查詢項目表。小楷表達訴求后，他回復可以查，需要220元。這個價格要便宜得多，但小楷并不太放心，問了很多問題，“深網”也很熱情地一一解答。但是當小楷支付查檔費用后，“深網”消失了，還刪除了群里的所有聊天信息。

在“社工庫”的暗網江湖里，沒有秩序，不尊重規(guī)則，也不推崇任何價值觀念，只有新的“叢林法則”—金錢掌控一切。所以，借助一定的方法騙到人，似乎成了值得稱頌的事。而受騙的人，在他們看來，又“蠢”又“麻瓜”，根本不值得同情。

2018年，李彥宏曾在中國發(fā)展高層論壇上說，“中國人更加開放或者說對隱私問題沒那么敏感，如果愿意用隱私來交換便捷性或者效率的話，很多情況下中國人是愿意這么做的。”這一觀點盡管頗受詬病，但也暗示了巨頭們公開搜集用戶數據的底層思維。

互聯網公司，本質上都是一個大數據公司，它們借此訪問了用戶爆炸級的數據，甚至借助大數據技術，進行更多的商業(yè)探索和創(chuàng)新。譬如瀏覽商品的類目、對話使用的稱謂、訪問頁面的時長、搜索記錄等在它們那里變成了有價值的信息。它們根據用戶足跡搭建模型，揣摩我們的心理，預測我們的行為，甚至灌輸給我們思想，誘導我們改變行為。

2016年頒布的《中華人民共和國網絡安全法》雖然同意網絡運營者對用戶數據的收集、使用。前提卻有3個：平臺明示收集、使用信息的目的；經用戶同意；收集的均是其提供服務有關的個人信息。

但在顧及商業(yè)創(chuàng)新的數據默許之上仍然有一個重要而無法回避的因素—人，只要有人在操控一切，信息泄露的風險就一直存在。

數據的流動就像一條大河，我們都是水源。數據的應用和隱私之間，根本就是悖論。無論是“開盒”還是其他信息泄露，僅靠行政或者法律很難從根本上解決被惡性使用的問題。我們還是應該從自身出發(fā)，規(guī)范好自己的數據使用方式。

比如，重要的密碼一定要單獨設置，相互獨立，密碼每個季度強制更換。手機不輕易“越獄”，不輕易安裝未經安全認證的軟件。在處理舊手機時，一定要用專業(yè)軟件擦除數據。不使用公共Wi-Fi進行支付操作，不在社交媒體上隨意發(fā)布帶定位的信息，快遞地址盡量只具體到某快遞柜。

數據安全可以先從自身做起。