3月20日，針對(duì)日前卷入“開盒”風(fēng)波后外界產(chǎn)生的信息安全疑慮，百度在媒體溝通會(huì)上進(jìn)行了釋疑：此次“開盒”數(shù)據(jù)的源頭是海外社工庫(kù)，并非來自百度。百度經(jīng)過反復(fù)排查，排除了公司副總裁謝廣軍泄露嫌疑。

隨著事件發(fā)酵，黑灰產(chǎn)對(duì)數(shù)據(jù)治理與數(shù)據(jù)安全的挑戰(zhàn)也暴露在大眾面前。百度方面呼吁，在相關(guān)政府主管部門的指導(dǎo)下成立“反開盒”聯(lián)盟，并提醒廣大用戶注意隱私信息保護(hù)。

百度：“任何職級(jí)都觸碰不到用戶數(shù)據(jù)”

百度安全負(fù)責(zé)人陳洋表示，相關(guān)“開盒”信息源于當(dāng)事人通過海外社交平臺(tái)從社工庫(kù)獲取，并非在百度工作的當(dāng)事人父親為其提供，“在百度任何職級(jí)的員工及高管均無權(quán)限觸碰用戶數(shù)據(jù)。”

因開盒網(wǎng)友事件中當(dāng)事人百度副總裁之女的特殊身份，此次事件引發(fā)了外界廣泛關(guān)注。百度高管是否會(huì)利用工作便利為家人提供用戶的私人信息——這成了網(wǎng)友和媒體集中關(guān)注的問題。

在陳洋的現(xiàn)場(chǎng)演示中，當(dāng)普通用戶“張三”注冊(cè)了一個(gè)百度賬號(hào)，系統(tǒng)首先會(huì)對(duì)其進(jìn)行假名化處理，用戶的真實(shí)姓名不會(huì)被直接存儲(chǔ)在數(shù)據(jù)庫(kù)里，而是以一串?dāng)?shù)字代碼組成的“假名”代替，并形成密鑰來鎖住相應(yīng)的信息。除了身份數(shù)據(jù)，用戶在使用產(chǎn)品過程中形成的產(chǎn)品數(shù)據(jù)也會(huì)進(jìn)行類似的加密處理，且身份信息、產(chǎn)品信息會(huì)分別擁有一把獨(dú)立的“加密鑰匙”。

“所有用戶敏感信息都會(huì)進(jìn)行加密處理。即便有人拿到了數(shù)據(jù)庫(kù)中的部分?jǐn)?shù)據(jù)，這些數(shù)據(jù)也無法使用，因?yàn)樗鼈儾粌H被加密，并且’鑰匙’存放在其他地方，由不同的部門掌管?！标愌笳f。他表示，基于業(yè)務(wù)部門、安全部門、稽核與內(nèi)部審計(jì)三道防線，在一系列安全機(jī)制之下，在百度，任何職級(jí)的員工無權(quán)觸碰用戶數(shù)據(jù)。

隨意“開盒”隱私信息，海外社工庫(kù)黑灰產(chǎn)猖獗

“開盒”事件中，網(wǎng)友信息到底從何而來？3月19日晚百度發(fā)布的公告中稱，經(jīng)過調(diào)查，涉事高管女兒獲得的開盒信息來自海外的社工庫(kù)——一個(gè)通過非法手段收集個(gè)人隱私信息的數(shù)據(jù)庫(kù)，而連接這個(gè)社工庫(kù)是海外社交平臺(tái)Telegram。

陳洋介紹，當(dāng)公司調(diào)查團(tuán)隊(duì)通過Telegram進(jìn)入當(dāng)事人獲取相關(guān)信息的“天網(wǎng)社工庫(kù)”后，復(fù)現(xiàn)了其獲取網(wǎng)民數(shù)據(jù)的過程，并對(duì)相關(guān)調(diào)查過程進(jìn)行了公證。陳洋還在現(xiàn)場(chǎng)展示了北京市精誠(chéng)公證處的公證原件。因此次事件曝光后，目前，“天網(wǎng)社工庫(kù)”對(duì)外暫時(shí)關(guān)閉了服務(wù)。

據(jù)悉，在這些非法收集個(gè)人信息的“社工庫(kù)”信息群里，只需要輸入一個(gè)身份證號(hào)，就可以查到與其關(guān)聯(lián)的QQ號(hào)、微博、郵箱、常用密碼、手機(jī)號(hào)關(guān)聯(lián)的地址，甚至開戶開房記錄、全家戶籍、名下銀行卡等大量隱私信息，就能被輕易“開盒”。

記者發(fā)現(xiàn)，這些一個(gè)個(gè)以群組形式出現(xiàn)的社工庫(kù)信息群里，幾乎每秒鐘都有新的“開盒”信息被發(fā)送出來，如同一個(gè)車水馬龍的交易市場(chǎng)。而當(dāng)這些個(gè)人信息被“開盒”之后，相關(guān)信息就如同草芥一般被隨意展示在各個(gè)信息群里，任何加入群組的人都能看到這些隱私信息。

“開盒”行為令個(gè)人隱私暴露無遺，開盒的門檻卻極低。為何一個(gè)13歲的小女孩就能輕易進(jìn)行“開盒”？陳洋說，涉事女孩在國(guó)外上學(xué)，當(dāng)其在國(guó)外查詢“免費(fèi)查人”后，就獲得了推薦其下載Telegram的搜索結(jié)果。她通過外網(wǎng)可以毫無限制地使用Telegram，就完成了開盒。至于網(wǎng)上流傳的“當(dāng)事人承認(rèn)家長(zhǎng)給她數(shù)據(jù)庫(kù)”的截圖，百度相關(guān)負(fù)責(zé)人表示內(nèi)容為不實(shí)信息，已經(jīng)對(duì)此報(bào)案。

一位從業(yè)十余年的網(wǎng)絡(luò)安全工程師透露，在Telegram上，人們“開盒”的門檻越來越低，過去想要通過這種模式查詢隱私信息的成本為幾元到幾百元一次不等，而如今，這類黑灰產(chǎn)也借鑒了互聯(lián)網(wǎng)產(chǎn)品的免費(fèi)模式，用戶每天可以免費(fèi)查詢也就是“開盒”2次他人信息，還能通過簽到獲取積分等方式獲取更多的免費(fèi)“開盒”機(jī)會(huì)。

建議普通用戶謹(jǐn)慎分享個(gè)人信息

社工庫(kù)里海量的個(gè)人信息，從何而來？用戶在各種網(wǎng)站上的信息，又為何會(huì)被“社工庫(kù)”拿到？

陳洋分析，這些個(gè)人隱私信息通常有三種泄露渠道，一是黑客入侵網(wǎng)站漏洞后抓取，二是黑灰產(chǎn)人士通過爬蟲爬取，三是通過數(shù)據(jù)交易被獲取。

陳洋稱，從2014年起，百度就啟動(dòng)了漏洞獎(jiǎng)勵(lì)計(jì)劃，通過漏洞收集及應(yīng)急響應(yīng)平臺(tái)公開懸賞安全和隱私漏洞。

面對(duì)灰黑產(chǎn)帶來的隱私泄露困境，普通用戶如何保護(hù)自己的隱私？陳洋建議，普通用戶在社交媒體等平臺(tái)上要謹(jǐn)慎分享個(gè)人信息，并避免授予不必要的權(quán)限。同時(shí)，他建議大家不要訪問未知網(wǎng)站，在不同平臺(tái)盡量使用不同的賬戶名和密碼，警惕不明來源的問卷、抽獎(jiǎng)活動(dòng)等，避免因貪小便宜而泄露個(gè)人信息。