13岁少女轻松“开盒”背后，有一条廉价简单开盒链

“开盒”，被一位百度高管13岁的女儿送上了热搜。

据媒体报道，一位微博网友自2024年以来，多次在饭圈“开盒”素人。3月上旬，其参与对一名孕妇网友的“开盒”网暴，同多人一起曝光对方工作单位并私信其丈夫进行辱骂，引发众多关注。

所谓的“开盒”，其实就是指通过非法手段获取并公开曝光他人的个人隐私数据与信息进行威胁，甚至号召他人对被“开盒”者进行网暴甚至现实攻击，是一种极为恶劣的网络暴力行为。

而根据这位微博网友多个账号发布的信息，网友发现她自称在加拿大留学，并有线索指向“眼眸”疑为百度副总裁谢广军13岁的女儿。

消息发酵后，百度官宣发布文心大模型4.5及文心大模型X1的评论区也被网友们刷屏，而谢广军三个字也被设置屏蔽，无法评论。而后，当事人父亲谢广军深夜在朋友圈发文致歉。

但是，谢广军的道歉并没有获得大家的认可，反而引起了网友们对于百度旗下产品的恐惧，有网友发文表示会直接注销百度旗下所有应用的账户，他们均表示使用百度产品会让自己“感觉有点恐慌”。

就在舆论继续向百度信息安全方向发酵后，百度安全负责人陈洋于次日在公司内网发布说明，表示在接到举报后，已经展开了调查并完成取证，结果显示，“谢广军女儿开盒事件”数据并非从百度泄露。

而这其实也并非大厂首次陷入用户对个人隐私泄露的质疑当中，B站此前通报的“人肉开盒”案件中，在境外平台有组织地煽动用户对站内UP主进行“人肉开盒”。40余名参与者多为未成年人，通过群聊分工实施个人信息公开，还对其进行一系列电话私信骚扰、网暴攻击、不实恶意举报等违法行为。

那么，这些个人隐私信息是从哪里找到的？会泄露哪些个人信息？泄露信息的渠道方又怎么讲呢？

1

“开盒”，原来廉价又易实施？

为了一探究竟，新识研究所也重现了“开盒自己”的过程。

令人恐惧的是，“开盒”这个让很多人觉得很牛逼的技能，对于长期在网上冲浪的用户来说，可以简单到“手到擒来”。

由于买卖个人信息的行为是严重违法的，所以这些查询、售卖个人信息的“开盒”处全部都在海外的通讯软件之上，其中最主要的集中于某境外社交应用之上。

而某境外社交应用上提供开盒服务的群聊，在X平台上搜索任何关键词几乎都能找到链接，点击后即可跳转至某境外社交应用相关群聊。

在加入其中的某个群聊后，发现这个大群已经有超34万人订阅，这也意味着仅是其中一个开盒的群聊，就在为数十万人提供违法查询服务。

而在具体的使用上，只要提供身份证号码、邮箱、姓名、QQ号、手机号、账号名、企业统一信用编码、手机串号、社交媒体ID等其中任何一项功能，都可以调取被查询人的个人隐私信息。

此外，该灰产平台还有“猎魔”功能，其实就是模糊查找，譬如可以如图一样查询到在某地出生日期在一段范围内的某人，这也让那些没有他人具体信息的开盒人也可以找到目标。

在收费方面，该数据库也有免费和付费两渠道，免费用户可以通过邀请他人和每日签到来获取积分，而付费用户则可以花钱直接购买“开盒”服务，这也形成了完美的闭环，免费用户推广可获得积分用于查询，而推广而来的付费用户能为背后提供巨大的经济利益。

新识研究所也使用了撰稿者自己的名字进行了查询，只要有名字，就能查询到具体的身份证号码、出生年月日、籍贯、电话号码、手机归属地、毕业院校等各个账号的信息。

可以说，如果你在生活中不小心暴露了自己的个人信息。那么只要一旦被有心人盯上，他只需要稍微花一点钱，你的个人信息都会被暴露在对方面前，无处躲藏。

而对于付费用户来说，可供查询的项目就更多了。

在新识研究所同信息卖家沟通后，对方表示他提供的“身份证大关联”服务只需要800元，可以通过一些方式进行转账购买。而具体可以查询到的信息，包括姓名、民族、住址、驾驶证、出入境记录、火车高铁订票记录、机动车落户记录、航空信息记录还有最新的证件照片。

而如果还愿意加钱的话，甚至可以找到过去一段时间内的开房记录甚至定位当前模糊位置、微信支付宝流水和银行卡余额这种传统认知中绝对不可能泄露的信息。

那么，这些信息是从哪里泄露的了？又该如何防范个人信息被泄露了？

2

所有企业都否认信息泄露，普通人该如何保护自己？

想要找到信息泄露的出处本身很难，但该社工库在对外输出个人隐私信息的时候却标注了数据来源。

其中，超星学习通、支付宝绑定、微信绑定、运营商、网购平台都多次出现在了数据来源中。新识研究所和这些应用的客服尝试进行了沟通。

其中，超星学习通的客服表示，“信息来源不一定准确，学习通信息都是保密的哈，您在哪里查询的信息，外网的网址辛苦也提供下，该网址并不一定安全的。”

不过，据贝壳财经报道，在2022年就有安全团队披露出超星学习通1亿7273万条学生信息泄露。

据贝壳财经，只要拥有足够的时间和算力，用户密码可以被解开。例如主流的“彩虹表”密码破译技术，可以把所有可能的密码计算出哈希并保存在索引文件中，在需要破解时只需根据哈希对索引文件进行查询即可很快获得明文密码，换言之，就是当前流传在外网的个人数据很可能是真实的，而撰文者的信息也确实流传在了外网上。

支付宝的客服表示，支付宝和用户一样，非常重视每一位用户的个人信息安全，支付宝承诺对用户的信息是严格保密的，我们不会泄露您的任何信息。外网上面的信息泄露建议您可以联系公安那边举报核实。

微信客服表示，微信团队始终将用户个人信息安全放在首位，微信的信息安全保护也获得了权威的国际安全标准认证。我们强烈建议用户下载及使用微信官方客户端并注意安全防护，如避免使用外挂产品，不点击陌生网址链接或扫描陌生二维码，不将手机验证码/微信登录密码分享给他人等。

京东客服则表示，平台非常重视客户信息和资料保密，绝对不会泄露用户的信息。

但是，所有的平台都说自己没有问题，那么这些个人信息是从哪里泄露出来的？

经专业人士分析，从一些全民级别AP泄露的信息可能并非从公司内部流出，而是通过爬虫技术获取他人部分信息，然后再利用大数据技术对碎片化信息进行关联分析。

例如，不法分子在拿到零散的个人信息后，还会进行二次处理，通过同一用户在不同平台的账号密码关联出完整个人画像。

而电商购物平台的个人信息，则可能是在物流环节泄露信息。

此外，还有部分社工库还采用“撞库”技术（测试用户是否在多平台使用相同密码）扩大数据量，以此完成对任何一个人所有个人隐私信息的分析。

那么，个人该如何保护好自己的个人隐私信息呢？

据网信海南，常见的个人信息泄露途径有很多，但只要避免个人资料随意填、社交软件随心晒、各类单据随手扔、免费WiFi随处蹭，那么就能避免绝大多数危险情况。

具体来说，街头扫码填问卷立得小礼品、网上填问卷抽红包、注册账号即送大礼、填写详细资料赢抽奖机会等等类似的活动，都有可能存在有个人信息泄露的风险。

而很多人在各个社交软件上“晒”出自己的美照以及各式各样的打卡照，也可能会被有心人捕捉信息进行非法买卖。

此外，快递单、购物小票、生活缴费单、刷卡消费单据等不起眼的单据，却包含着大量重要信息，如果经常随手扔掉就很容易给自己造成损失。

不过，无论数据从何而来，也都像半月谈评论的那样，信息安全关乎每个人的切身利益，必须以零容忍的态度对待任何形式的个人信息买卖，“社工库”及其背后的黑色产业链已严重侵犯公民的个人隐私权，成为网络空间戾气的背后推手，对其进行严厉打击已刻不容缓。

监管部门从立法和行政层面上对开盒等黑灰色产业链进行从严处罚和打击，才能从根本上极大减少这样侵犯个人隐私的违法犯罪行为滋长的空间。

作者：杨启隆

编辑：丁力