起底“开盒”背后的“社工库”：处于黑产链中游，多存于海外社交群（组图）

3月19日晚，针对“谢广军女儿开盒”事件，百度发布声明表示，事件相关信息并非来源于百度。经过调查，开盒信息来自海外的社工库——一个通过非法手段收集个人隐私信息的数据库。相关调查过程已取证，并得到公证机关公证。

此前，据南都报道，百度副总裁谢广军在回应中提到，女儿系从海外社群网站上获得他人隐私信息并发布。

陕西恒达律师事务所高级合伙人、公益律师赵良善认为，“开盒”获取他人信息，侵犯了他人的个人隐私及个人信息权，涉及民事、行政与刑事法律责任。

▲资料图片 图据视觉中国

调查：

“社工库”自称可查询多种信息

还启用机器人查询业务

此前，红星新闻曾报道“开盒”社交媒体群。在以“开盒”为核心的海外社交媒体群中，起到“开盒”作用的工具多被称为“社工库”。除去各个领域的“开盒”分支外，海外社交媒体群内也存在不少单独的“社工库”频道或群聊，运营者自称可以根据部分身份信息，获取更多相关个人隐私内容，包括快递外卖地址、本人户籍及家人户籍等。

3月19日，红星新闻记者注意到，在一个网络技术交流平台上，有人曾总结流行的“社工库”账号，每个“社工库”均关联一个海外社交媒体账号或群聊。

记者根据指引进入多个“社工库”账号，其基本模式包括群聊、机器人及客服三种情况。在群聊中，由运营者发布可供查询的信息类型范围、参考结果模板等；机器人负责处理简单的查询业务；客服则负责处理更复杂的业务。

记者看到在一个“社工库”群聊内，用户均可与机器人互动，“相关说明”称，发送网络账号信息即可查询其他关联信息，有人凭此获取其他网络用户的身份信息。在机器人负责的简单业务查询中，往往以群聊“积分”兑换查询额度，积分可通过推广等方式免费获取。一份“社工库”查询表格显示，需人工操作的，收费数百元至数千元不等。

此外，不少“社工库”群聊中，发布内容夹杂着其他涉赌、涉贷黑灰产广告，以此“引流”至其他业务。

论文：

有组织分工明确的‘网络黑色产业链’

建议摸排相关情况

澎湃新闻曾报道，2020年3月21日，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工信部网络安全管理局对新浪微博相关负责人进行了问询约谈，要求其进一步采取有效措施，消除数据安全隐患。

2023年，《通信企业管理》期刊刊发文章《社工库信息泄露事件对加强数据安全防护的启示》，作者单位标注为中国电信研究院。文章提到，2023年2月，国外社交媒体群聊大面积转发一社工库查询机器人链接，网传该机器人泄露了数十亿条个人信息，以快递信息为主。经数据验证和分析，所泄露信息真实有效。

文章称，“非法获取敏感个人信息并用于营利为目的的活动已形成有组织、分工明确的‘网络黑色产业链’：上游为提供技术支持的黑客，或者泄露敏感个人信息的‘内鬼’；中游为社工库，即‘黑产’地下数据库的运营方，社工库数据被反复清洗、聚合榨取价值；下游是实施‘黑产’犯罪行为（如诈骗、洗钱、骗贷）的团伙。”其建议摸排“黑产”社工库情况。

华侨大学一篇硕士专业学位论文《面向网络渗透社工的用户信息挖掘与分析》提出，随着互联网安全技术的发展，系统漏洞的发现越来越困难，越来越多的入侵者采用人为因素变相地创造漏洞进行攻击，这在一定程度上扩大了社会工程学的应用范围。

在网络安全领域，“社工库”的“社工”，实为“社会工程学”的缩写，与社会工作、社区工作者毫无关系。北京邮电大学一篇博士学位论文《基于威胁预测的社会工程学防御技术与策略研究》中称，社会工程学主要是指“利用欺骗手段诱使他人泄露个人信息，尤其是在很多不知情的情况下未经授权访问计算机系统或网络”。社会工程攻击可以分为三类，其中一类为“基于技术的攻击”，是通过互联网社交网络或在线服务网站进行攻击，收集攻击目标的敏感信息，如个人隐私信息、用户密码、信用卡敏感信息等。

律师：

散布他人隐私涉嫌违法

提供公民个人信息达一定数量涉嫌犯罪

陕西恒达律师事务所高级合伙人、公益律师赵良善认为，“开盒”获取他人信息，侵犯了他人的个人隐私及个人信息权，涉及民事、行政与刑事法律责任。从民事责任层面讲，民法典第111条明确规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

从行政责任层面讲，治安管理处罚法第42条规定，散布他人隐私的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。

从刑事责任层面讲，若违法所得达5000元以上的，或者提供公民个人信息达到一定数量的，依据刑法第253条之一以及《两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定，行为人则涉嫌侵犯公民个人信息罪。

赵良善强调，如果对他人进行骚扰，根据治安管理处罚法第42条规定，多次发送淫秽、侮辱、恐吓或者其他信息，干扰他人正常生活的，将面临五日以下拘留或者五百元以下罚款的处罚；情节较重的，还将面临五日以上十日以下拘留，可以并处五百元以下罚款。若对他人谩骂攻击，情节严重的，还可能会构成侮辱罪、寻衅滋事罪，如果进一步获取钱财，则可能会构成敲诈勒索罪等。