文｜數據猿

最近，“開盒”成了大熱詞。

起因是百度副總裁謝廣軍13歲的女兒在網上對一位網友“開盒”，直接曝光對方身份證號、手機號、家庭住址，導致其遭遇網暴。

事件曝光後，公衆立刻對百度的數據安全性提出質疑：難道一個“熊孩子”能輕鬆通過父親的權限查看百度用戶數據？如果是這樣，百度的隱私保護豈不是形同虛設？

面對輿論壓力，百度迅速展開內部調查。安全負責人陳洋回應稱，公司內部對數據進行了匿名化、假名化處理，並嚴格執行權限分離制度，任何個人（包括謝廣軍在內）都無法直接獲取用戶數據。此外，他強調涉事信息並非來自百度，而是泄露自海外的非法數據庫——“社工庫”。

但社工庫真有這麼強大？爲了一探究竟，我親自“開盒”了自己，接下來就儘可能全面地展示這場讓我起滿“雞皮疙瘩”的體驗。

一個殘酷的現實社工庫一直都存在，不少人在互聯網上“裸奔”

社工庫，全稱社會工程學數據庫（Social Engineering Database），是由黑客、詐騙者或其他惡意分子通過網絡釣魚、網頁抓取、數據泄露或系統漏洞等手段，非法收集用戶的姓名、身份證號、各大平臺賬號、密碼等敏感信息，並將其整理成數據庫。這類數據庫往往被用於“人肉搜索”或作爲斂財工具，在黑市上兜售，助長網絡詐騙和隱私侵犯。

在谷歌搜索“社工庫”時，相關結果中被置頂的是一個GitHub Repo，列出了接近20家提供社工庫服務的資源，包括網站和Telegram Bot，其中絕大多數通過Telegram Bot進行自動化交易。

爲了驗證這些服務的可用性，我隨機選擇了幾家進行測試。

第一家是一個網站服務，聲稱其收錄了全球多個重大數據泄露事件及數據，包括億級訂單快遞數據、推特2億用戶數據等。用戶只需在搜索框中輸入QQ、郵箱、身份證號或手機號等信息，在支付一定費用後，便可獲得詳細的個人資料。

在我輸入自己的手機號之後，它給出了該手機號綁定了某個微信自動付款繳費和微博賬號的記錄。

隨後，我嘗試了一些Telegram Bot服務，其中一家擁有介紹稱：“可以查詢泄漏的身份信息、手機機主、開房記錄、快遞地址、貸款記錄、車主信息、常用密碼、社交賬號關聯等，請勿濫用。”

在我輸入了一個已知的身份證號之後，系統返回了正確的姓名信息。這是免費版服務，如果需要解鎖更多數據，則需支付70 USDT（約70美元）或通過微信/支付寶支付550人民幣成爲會員。

爲了一探究竟，我開通了會員。然而，沒想到首先迎接我的，就是一個令人寒顫的體驗。

在會員服務中，有一項名爲“獵魔”的功能，操作非常簡單——只需輸入三項基本信息：目標的姓名、大致出生年份和戶籍所在地，系統就能輸出身份證結果。

獵魔功能

如果對方的名字較爲常見，系統會返回所有符合條件的身份證信息供你篩選；而若名字罕見，結果往往就是精準命中。你便能輕而易舉地掌握目標的完整身份證號。

一旦掌握了身份證號信息，這就像打開了“魔盒”，接下來你可以選擇“高級人工服務”，解鎖更爲敏感的隱私數據，包括但不限於：

戶籍信息：現居住地址、戶口性質等；

社保記錄：繳納明細與參保情況；

犯罪記錄：是否存在案底或涉案歷史；

身份證使用軌跡：酒店入住、車票購票、快遞收發等活動記錄；

名下資產查詢：房產、車輛、銀行卡號等。

社工庫服務範圍

這些數據的價格按服務難易程度浮動，從100元到12000元不等，耗時也從幾分鐘到三天不等。也就是在開通會員的基礎上，你想獲得更多的詳細數據，仍然需要額外支付費用。

爲了驗證其真僞，我嘗試了最便宜的服務。向人工客服提供了自己的身份證號後，幾小時之後，對方便發來了我的戶籍信息——精準無誤。

向客服追問數據來源時，他拒絕回答，只是強調“保真”。

在觀察了多個Bot之後，我發現它們早已形成規模化運營，不少月活用戶已破萬。其中，一個Bot的月活用戶竟高達4萬多人，其通知頻道的訂閱者更是超過28萬人，可見受衆之廣。

更讓人不寒而慄的是，這些Bot並不滿足於販賣數據，還主動收購新數據。在Bot的廣告欄中，赫然寫着：

“長期收購社工數據，歡迎供應商聯繫。”

這意味着，源源不斷的個人隱私信息正被黑市收割，變成非法利潤的燃料。

還有Bot在通知中標明：

“本團隊拒絕向16歲以下用戶提供服務（人窮事多），未滿16歲請勿打擾！”

可見不少青少年也因爲衝動或好奇，想要使用這樣的服務。

在這場隱私交易的背後，還有一條隱祕的金融通道——波場鏈（TRON）。

在溝通之後，我注意到這些社工庫服務幾乎全部推薦用戶通過波場鏈來進行USDT支付。USDT是一種與美元1:1掛鉤的加密貨幣，而波場鏈因轉賬成本低、速度快且匿名性強，已然成爲灰產分子的首選工具。在波場鏈上，USDT被廣泛用於賭博、詐騙、洗錢等非法活動。

根據Bitrace的報告，2022年9月至2023年9月期間，波場鏈上與非法交易相關的資金規模高達170.7億美元USDT，佔比顯著高於其他區塊鏈網絡。而波場的創始人孫宇晨，也因與多國監管機構存在摩擦，頻繁面臨訴訟，使得該鏈的合規性與可信度備受質疑。

Telegram爲信息交流與交易提供“安全”屏障，波場鏈則確保資金流動隱匿且高效，兩者的結合讓非法交易變得更難追查，讓執法機構在數據取證、資金溯源和司法追責上步步受限。

通過Telegram來交易個人信息早已不是新鮮事。早在2020年3月19日，Phala Network 創始人兼 CEO 佟林便發佈調查文章《隱私一覽無餘！微博泄露事件臥底調查報告》，揭露了黑灰產在 Telegram上經營社工庫的亂象。

Phala Network 是一個隱私計算雲平臺，專注於爲Web3.0 應用提供數據隱私保護和計算能力。作爲隱私計算領域的創業者，佟林天然地對數據安全尤爲敏感。在文章中，他以自己的手機號爲樣本，在社工庫中查詢了姓名、郵箱、密碼等信息，結果均爲本人真實數據，印證了社工庫的真實性與隱私威脅。

在發佈文章之後，佟林被提供社工庫服務的灰產從業者“人肉”了，他不僅遭受了短信轟炸，他的手機號、真實姓名、身份證正反面，被散佈在近三萬人的Telegram羣組中。

“從事這個領域的都知道社工庫，大家也清楚自己在網上其實是裸奔的。但絕大多數從業者不會挑明揭露這件事，因爲這會影響自己的安全。”佟林說。他也坦言，追查幕後主謀的難度極大，想要找到真正的源頭幾乎不可能。

“隱私至上”的Telegram爲什麼成了灰產的溫牀？

2013年，Pavel Durov及其兄弟Nikolai Durov在俄羅斯創立了Telegram，希望能爲用戶提供一個安全、私密且免受政府監控和黑客攻擊的消息平臺。弟弟Pavel Durov 作爲 Telegram 的門面和發言人，活躍在臺前，而哥哥Nikolai Durov 則更多重心在幕後技術開發。

Pavel Durov

從創立之初Telegram便注重隱私保護，其設計理念圍繞着雲架構、端到端加密和自毀消息等功能展開。此外，Telegram對審查的拒絕也是其核心優勢之一，這使得它區別於WhatsApp等主流社交平臺，吸引了全球大量注重隱私和言論自由的用戶。

2018年，俄羅斯政府因Telegram的加密功能及其拒絕交出加密密鑰，試圖封鎖該應用。Pavel Durov堅決反抗，公開宣誓不遵從俄羅斯當局的要求，最終導致Telegram在俄羅斯被禁。

Telegram堅守隱私、自由和去中心化的立場，贏得了大量忠實用戶，特別是在那些對政府幹預和監控高度敏感的國家。它成爲了一個沒有審查、無束縛的溝通空間，吸引了全球各地那些追求隱私保護、言論自由以及安全溝通的用戶羣體。

然而，這種立場也爲非法活動提供了生存的土壤。由於其端到端加密技術的強大保護，平臺上的消息內容難以被追蹤和審查，使得一些灰產從業者、犯罪分子甚至恐怖組織找到了便利的溝通渠道。對於社工庫來說，Telegram是一個理想的藏身之所，既能保證信息傳播的效率，交易的絲滑進行，又能有效規避監管和打擊。

正因如此，越來越多的國家和監管機構開始要求Telegram加強對非法內容的監控與管理，以確保其平臺不被濫用，尤其是在涉及恐怖主義、毒品走私、詐騙和未成年保護等方面。

2025年2月，澳大利亞在線安全監管機構因Telegram未及時處理平臺上的恐怖主義和兒童虐待內容，向其罰款近100萬澳元。

Pavel Durov本人更是於2024年8月24日在巴黎附近的機場被法國警方逮捕，面臨多項指控，其中包括未能有效遏制Telegram平臺上的犯罪活動，協助傳播兒童性剝削材料、毒品交易、欺詐以及拒絕配合執法部門的要求等。這也是首次有科技公司高管因其平臺上發生的犯罪活動而被逮捕。

Pavel Durov被法國警方逮捕的新聞

被捕後，Pavel Durov被禁止離開法國，並被置於司法監督之下。直到2025年3月17日，法國檢察官辦公室宣佈暫時解除了對Durov的旅行禁令，他已返回迪拜的家中，但需要在4月7日之前回到法國。

Pavel Durov在自己的Telegram頻道上回應稱，調查仍在進行，並強調Telegram始終履行並超越了法律義務，在內容審覈、與政府合作以及打擊犯罪方面做出了大量努力。他的律師團隊也在積極辯護，試圖證明Telegram並未有意放任犯罪行爲。

Pavel Durov在3月17日宣佈已經返回到迪拜家中

儘管面臨法律和輿論壓力，Telegram的用戶規模仍在持續增長。最新數據顯示，Telegram的月活躍用戶數已突破10億，日均使用時長達41分鐘，成爲全球第二大即時通訊應用，僅次於WhatsApp（此排名不包含微信）。

Pavel Durov在3月19日宣佈Telegram月活用戶突破10億

不得不承認，雖然Telegram爲社工數據的交易提供了平臺，它僅僅是這個產業鏈的中下游環節。即使平臺加強了監控和審查，若源頭沒有得到有效的管控，問題依然難以根治。

以Phala Network創始人佟林爲例，他在Telegram上發現了自己的個人信息泄漏，而這些信息最初通過微博泄露出去。2020年3月，微博發生了大規模的數據泄漏事件，數億用戶的敏感數據，包括手機號碼、用戶ID、暱稱、頭像、粉絲數及所在地等，均被泄露。這些數據最終流入黑市，並通過Telegram等平臺進行非法交易。

在之前提到的社工庫網站上，它毫不避諱地列出了數據來源：億級訂單快遞數據、廣東駕校學員信息、閱文集團2000萬用戶數據、陌陌3000萬條用戶信息等，觸目驚心。更諷刺的是，連一向標榜安全與隱私的Telegram也未能倖免，其4000多萬被泄漏的用戶數據也在社工庫收錄範圍內。

無論是電商平臺、社交媒體、金融機構，還是其他託管用戶數據的企業，都必須承擔起保護數據安全的責任。在數據收集和存儲過程中，企業應通過強有力的加密技術來確保數據安全，同時加強網絡安全防護，確保符合合規性要求。

如果企業未能採取有效的安全措施，如加密、數據審計、身份驗證等，黑客就能通過釣魚攻擊、SQL注入等手段輕易獲取大量用戶數據。一旦這些數據泄漏，它們便成爲社工庫的一部分，進而被轉化爲灰色產業的商品。

只有從源頭上加強數據保護，纔能有效避免數據泄漏，並防止它們流入像Telegram這樣的非法交易平臺。這不僅是技術層面的挑戰，更是企業和社會的共同責任。

歐美歷史上的幾次重大數據泄漏事件都是如何處理的？

在數據保護立法方面歐美國家領先於我們，那麼他們是如何應對數據泄漏事件的？我盤點了幾個典型案例：

1. Equifax數據泄漏事件

2017年，美國的消費者信用報告機構Equifax遭遇了嚴重的數據泄漏事件，影響了1.47億美國公民、1520萬英國公民以及約19,000名加拿大公民的敏感數據。這些信息包括社會安全號碼、出生日期、地址以及駕照號碼等。

賠償方案：作爲與美國聯邦貿易委員會（FTC）、消費者金融保護局（CFPB）和50個州達成的和解協議的一部分，Equifax同意向受影響的美國消費者支付多達7億美元的賠償金。受影響的客戶不僅可以獲得現金賠償，還可以選擇接受信用監控服務。此外，Equifax還爲消費者提供了免費的身份盜竊保護服務。對於那些遭遇財務損失的客戶，還可以申請額外的補償。

2. British Airways數據泄漏

2018年，British Airways（BA）遭遇了數據泄漏，導致約50萬名客戶的信用卡信息、個人身份信息和支付數據被泄露。這些信息被黑客通過網站的漏洞盜取。英國信息專員辦公室（ICO）對此展開調查，並指責BA未能保護用戶數據。

賠償方案：BA被罰款1.83億英鎊，並向受影響的客戶提供退款、額外的身份保護服務以及一定形式的經濟賠償。

3. Marriott國際酒店數據泄漏

2018年，Marriott國際酒店集團披露了一個大規模的數據泄漏事件，約有5億名客戶的個人信息被黑客竊取。泄漏的內容包括客戶的姓名、護照號碼、地址、電話號碼、電子郵件地址、日期等。

賠償方案：Marriott在事後宣佈，將爲受影響的客戶提供免費的身份保護服務，包括信用監控和欺詐檢測。在美國和歐洲，許多受影響的客戶可以獲得相應的補償。此外，Marriott還面臨了一些國家監管機構的罰款，例如英國信息專員辦公室對Marriott公司處以了9900萬英鎊的罰款。

可以看出，由於歐美在數據保護方面立法較早，具有成熟的法律體系和監管機制，並且在法規深度和執行力度上仍領先，尤其是在罰款機制和跨境數據保護方面。

中國的《個人信息保護法》（PIPL）和《數據安全法》分別在2021年實施，標誌着中國在數據保護方面的重要進展。這些法規加強了數據處理的合規性要求，如數據同意、訪問、刪除和糾正等權利，但在執行細節和力度上仍有待加強，未來隨着市場和技術的發展，可能逐步彌補這一差距。

除了法律層面的約束，企業在數據泄漏事件發生後，如何應對同樣至關重要。透明化的信息披露、及時的補救措施以及良好的用戶溝通機制，能夠有效減少用戶的不安，降低企業的聲譽損失。企業應承擔相應責任，提供身份保護、信用監控等服務，並建立合規體系，以確保未來的數據安全。

當然，也希望企業和數據託管機構能吸取教訓，在追求商業利益的同時，肩負起對用戶數據的保護責任，讓社工庫徹底消失。

至於我們普通人能做些什麼？我的建議是：減少在小平臺留信息，選擇可信的大平臺；限制APP權限，關閉不必要授權；身份證複印件打水印，標註用途防止濫用；避免蹭WiFi，防止數據被劫持；社交平臺少曬隱私，防止被不法分子利用；警惕數據共享，使用隱私瀏覽器。

希望在未來，我們每個人都能衣冠整齊地行走在互聯網上，而不是赤裸奔跑。