“开盒”风波后百度解答疑虑：任何职级都触碰不到用户数据

3月20日，针对日前卷入“开盒”风波后外界产生的信息安全疑虑，百度在媒体沟通会上进行了释疑：此次“开盒”数据的源头是海外社工库，并非来自百度。百度经过反复排查，排除了公司副总裁谢广军泄露嫌疑。

随着事件发酵，黑灰产对数据治理与数据安全的挑战也暴露在大众面前。百度方面呼吁，在相关政府主管部门的指导下成立“反开盒”联盟，并提醒广大用户注意隐私信息保护。

百度：“任何职级都触碰不到用户数据”

百度安全负责人陈洋表示，相关“开盒”信息源于当事人通过海外社交平台从社工库获取，并非在百度工作的当事人父亲为其提供，“在百度任何职级的员工及高管均无权限触碰用户数据。”

因开盒网友事件中当事人百度副总裁之女的特殊身份，此次事件引发了外界广泛关注。百度高管是否会利用工作便利为家人提供用户的私人信息——这成了网友和媒体集中关注的问题。

在陈洋的现场演示中，当普通用户“张三”注册了一个百度账号，系统首先会对其进行假名化处理，用户的真实姓名不会被直接存储在数据库里，而是以一串数字代码组成的“假名”代替，并形成密钥来锁住相应的信息。除了身份数据，用户在使用产品过程中形成的产品数据也会进行类似的加密处理，且身份信息、产品信息会分别拥有一把独立的“加密钥匙”。

“所有用户敏感信息都会进行加密处理。即便有人拿到了数据库中的部分数据，这些数据也无法使用，因为它们不仅被加密，并且’钥匙’存放在其他地方，由不同的部门掌管。”陈洋说。他表示，基于业务部门、安全部门、稽核与内部审计三道防线，在一系列安全机制之下，在百度，任何职级的员工无权触碰用户数据。

随意“开盒”隐私信息，海外社工库黑灰产猖獗

“开盒”事件中，网友信息到底从何而来？3月19日晚百度发布的公告中称，经过调查，涉事高管女儿获得的开盒信息来自海外的社工库——一个通过非法手段收集个人隐私信息的数据库，而连接这个社工库是海外社交平台Telegram。

陈洋介绍，当公司调查团队通过Telegram进入当事人获取相关信息的“天网社工库”后，复现了其获取网民数据的过程，并对相关调查过程进行了公证。陈洋还在现场展示了北京市精诚公证处的公证原件。因此次事件曝光后，目前，“天网社工库”对外暂时关闭了服务。

据悉，在这些非法收集个人信息的“社工库”信息群里，只需要输入一个身份证号，就可以查到与其关联的QQ号、微博、邮箱、常用密码、手机号关联的地址，甚至开户开房记录、全家户籍、名下银行卡等大量隐私信息，就能被轻易“开盒”。

记者发现，这些一个个以群组形式出现的社工库信息群里，几乎每秒钟都有新的“开盒”信息被发送出来，如同一个车水马龙的交易市场。而当这些个人信息被“开盒”之后，相关信息就如同草芥一般被随意展示在各个信息群里，任何加入群组的人都能看到这些隐私信息。

“开盒”行为令个人隐私暴露无遗，开盒的门槛却极低。为何一个13岁的小女孩就能轻易进行“开盒”？陈洋说，涉事女孩在国外上学，当其在国外查询“免费查人”后，就获得了推荐其下载Telegram的搜索结果。她通过外网可以毫无限制地使用Telegram，就完成了开盒。至于网上流传的“当事人承认家长给她数据库”的截图，百度相关负责人表示内容为不实信息，已经对此报案。

一位从业十余年的网络安全工程师透露，在Telegram上，人们“开盒”的门槛越来越低，过去想要通过这种模式查询隐私信息的成本为几元到几百元一次不等，而如今，这类黑灰产也借鉴了互联网产品的免费模式，用户每天可以免费查询也就是“开盒”2次他人信息，还能通过签到获取积分等方式获取更多的免费“开盒”机会。

建议普通用户谨慎分享个人信息

社工库里海量的个人信息，从何而来？用户在各种网站上的信息，又为何会被“社工库”拿到？

陈洋分析，这些个人隐私信息通常有三种泄露渠道，一是黑客入侵网站漏洞后抓取，二是黑灰产人士通过爬虫爬取，三是通过数据交易被获取。

陈洋称，从2014年起，百度就启动了漏洞奖励计划，通过漏洞收集及应急响应平台公开悬赏安全和隐私漏洞。

面对灰黑产带来的隐私泄露困境，普通用户如何保护自己的隐私？陈洋建议，普通用户在社交媒体等平台上要谨慎分享个人信息，并避免授予不必要的权限。同时，他建议大家不要访问未知网站，在不同平台尽量使用不同的账户名和密码，警惕不明来源的问卷、抽奖活动等，避免因贪小便宜而泄露个人信息。