开盒“社工库”

百度副总裁谢广军女儿“开盒”事件，持续引发外界对数据安全的担忧。他在回应中提到，女儿是从海外社群网站上获得他人隐私信息并发布。

这个海外社区的核心，就是“社工库”。

以“社工库”数据为核心，在海外社交平台上大张旗鼓倒卖数据、招募公检法内部人员的群组并不少见。在单个群组内，不断有人查询并披露他人的名字或手机号，基础信息为机器人自动回复。若要更为隐秘的信息，则要添加“社工库”的客服花钱购买。

“社工库”是什么？

数据汹涌

“社工库”的存在历史悠久，甚至比这个惹事的小女孩的年龄更长。至少15年前，就有大量媒体披露过，在“社工库”上，能搜罗到大量个人信息。

可时至今日，解决不了的核心痛点恐怕在于，平台和服务器都不在中国境内，海量信息单向流出后，技术上难以溯源，追踪成本巨大。这也是你不时能接到来自缅北电诈园区的电话，被各种推广短信骚扰的原因。它们不少都来自这些隐秘的渠道。

引爆信息泄露最大争议的事件恐怕很多人已经记忆模糊：2016年，山东数十万考生信息泄露，来自山东的18岁女孩徐玉玉，因为把9 900元学费打到骗子的账户而发生心源性休克，不幸去世。

以至同年，《中华人民共和国网络安全法》迅速问世，并颁布实施。其中明确，严禁任何个人和组织窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。违反者，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款；如果没有违法所得的，处一百万元以下罚款。

但因信息泄露出现的恶性事件仍然层出不穷。开房数据、打胎记录、银行流水、司法口供、婚姻记录、社保记录……在某“社工库”社群里，公然列出了52种待查、可查的数据信息，从居民档案、人物定位、银行信息、司法案件，宣称只有你想不到的问题，没有你查不到的数据。

2025年初，公安部发布一条新闻，2024年，按照公安部统一部署，全国公安机关深入推进“净网”专项行动，全年，共侦破数据泄露相关案件7 000余起，抓获一批犯罪嫌疑人。

然而根据网安创新联盟和零零信安联合发布的信息泄露检测报告，全球性相关信息泄露事件仍旧层出不穷：

2025年3月2日，有售卖者在“社工库”发布一份国内某智慧校园系统平台的数据，共10万条，内容包括姓名、ID、密码等。

2025年3月4日，有售卖者在“社工库”出售一份越南海军的数据资料，共987万条，内容包括姓名、性别、ID和密码等。

2025年3月5日，有售卖者在“社工库”以350美元的价格出售一份国内某银行办理信用卡的客户信息数据，共8万条，内容包括姓名、性别、出生日期、手机号和身份证号等。

2025年3月5日，有售卖者在“社工库”出售一份塞尔维亚共和国文化部的政府内部文件，共 4TB，内容包括姓名、地址和电话等。

2025年3月7日，有售卖者以400美元的价格在“社工库”出售一份日本厚生劳动省的政府内部数据，共2 000万条，内容包括姓名、电话、地址和邮箱等。

这些信息是因何泄露、如何流通，又是如何引发一系列社会事件的？

暗查

《商界》记者设法进入到一个“社工库”内部群，发现群里正在以“日入过万，绝不吹牛”的噱头发布营销信息，大量招募公安、银行、运营商、工商和快递等渠道内部人员。

我们以工商人员的身份与相关人员接触。对方异常谨慎，丝毫不会泄露任何一点背景资料，但却向我们寻求身份认证，并丢过来一个名字，让我们在工商系统里查到这人的工商相关信息作为佐证。并承诺，查一单给我们提成20元，一天稳定有上百单。如果能够达到500单，就能日入万元了。

当我们以风险太大为由，想继续跟对方纠缠时，对方说了6条保证安全的措施：

1.会送给我们一部专门的iPhone15手机，内置所有软件，到手开机即可专线对接；

2.会提供无须实名的境外流量卡，无需实名的1对1微信；

3.有专业人员帮助解决各类业务怎么出单，保证快速上手；

4.会有专业培训人员培训如何规避风险，完美去水印等；

5.对方所有团队人员均不在中国大陆；

6.可以选择现金、黄金、购物卡等各种结算方式。

我们重新以用户的名义，进入到一个“社工库”社群，尝试这类社群提供的数据和信息的准确性。开始，我们随便在网上找了一个女生的自拍照，支付后，对方很快就发来了这名女生的“PLC·公安部全国人口信息库”的截图。姓名、性别、民族、身份证号码、户口地址等身份证主要信息一应俱全。

我们仍旧怀疑数据的匹配真实性，于是在争取同事同意后，冒着信息被泄露的风险，支付费用后查询了他的开房记录。3天后结果反馈回来，他5年的出差记录，从入住和离店时间、同住人员姓名和身份证号，酒店位置、房号等，一应俱全。

当我们以好奇为由，询问对方数据从哪里来时，对方只发过来一个微笑的表情。

我们又以“社工库”为关键词，在境外某社交平台搜索相关社群，有高达834页的社群信息。即使按照每页10个社群估算，提供相关黑色数据服务的社群也高达8 340个。其中有多个显示高达35万、11.1万等用户的“十万加”社群。

某安全团队2023年的研究报告显示，平均每个中国网民的隐私数据在黑市被转卖超过12次，完整的个人档案（含身份证号、手机号、住址、消费记录）标价200—500元不等。在暗网论坛中，一份包含2.7亿条记录的“中国公民简历数据库”售价仅0.5比特币。

我们又咨询了数据安全相关专家，还原了这条黑色数据产业链的闭环商业逻辑。

“社工库”（Social Engineering Database）实质是黑客通过非法手段获取的个人信息聚合库。不同于普通数据库，它采用“信息拼图”模式：从电商平台的购物记录、社交媒体的动态轨迹，到酒店住宿的登记信息，各类碎片数据通过AI算法重组，最终形成完整的个人画像。

第一步：数据采集

一般有3种方式进行数据采集。撞库攻击：利用泄露的账号密码组合尝试登录其他平台（2022年某视频网站6.8亿条数据泄露事件）。钓鱼攻击：伪装成正规App/网站的恶意程序（2023年某政务平台仿冒网站日均访问量达3万次）。内鬼交易：如某快递公司前员工曾以每条0.8元价格倒卖20万条客户信息。

第二步：数据加工

专业“洗数”团队会对原始数据进行：去重合并（消除重复信息）；时空关联（通过Wi-Fi连接记录还原活动轨迹）；消费画像（分析支付记录构建消费能力模型）。

第三步：精准贩卖

根据买家需求提供差异化服务：普通查询：单次身份证反查收费50元；深度调查：包含通讯录+行踪轨迹套餐收费2 000元；定制服务：某商务咨询公司曾购买企业家全年行程监控，年费高达12万元。

狩猎和猎物

上当受骗几乎是所有初次接触“社工库”的人的必经之路。小楷（化名）第一次使用“社工库”就被骗了。他因为在某平台购买一件物品，付完钱后不满意，但对方不理他了。他很不甘心，于是想借助“社工库”，查对方的地址，威胁一下对方。

他在某境外社交平台随意输入“社工库”，首先映入眼帘的就是一个有几百人的“社工库”群组。他翻了翻历史聊天记录，发现里面密密麻麻的都是一个个名字、一串串数字组成的手机号或者身份证号码。

一个名为“深网·‘社工库’”的人发来一条信息，还贴出一张查询项目表。小楷表达诉求后，他回复可以查，需要220元。这个价格要便宜得多，但小楷并不太放心，问了很多问题，“深网”也很热情地一一解答。但是当小楷支付查档费用后，“深网”消失了，还删除了群里的所有聊天信息。

在“社工库”的暗网江湖里，没有秩序，不尊重规则，也不推崇任何价值观念，只有新的“丛林法则”—金钱掌控一切。所以，借助一定的方法骗到人，似乎成了值得称颂的事。而受骗的人，在他们看来，又“蠢”又“麻瓜”，根本不值得同情。

2018年，李彦宏曾在中国发展高层论坛上说，“中国人更加开放或者说对隐私问题没那么敏感，如果愿意用隐私来交换便捷性或者效率的话，很多情况下中国人是愿意这么做的。”这一观点尽管颇受诟病，但也暗示了巨头们公开搜集用户数据的底层思维。

互联网公司，本质上都是一个大数据公司，它们借此访问了用户爆炸级的数据，甚至借助大数据技术，进行更多的商业探索和创新。譬如浏览商品的类目、对话使用的称谓、访问页面的时长、搜索记录等在它们那里变成了有价值的信息。它们根据用户足迹搭建模型，揣摩我们的心理，预测我们的行为，甚至灌输给我们思想，诱导我们改变行为。

2016年颁布的《中华人民共和国网络安全法》虽然同意网络运营者对用户数据的收集、使用。前提却有3个：平台明示收集、使用信息的目的；经用户同意；收集的均是其提供服务有关的个人信息。

但在顾及商业创新的数据默许之上仍然有一个重要而无法回避的因素—人，只要有人在操控一切，信息泄露的风险就一直存在。

数据的流动就像一条大河，我们都是水源。数据的应用和隐私之间，根本就是悖论。无论是“开盒”还是其他信息泄露，仅靠行政或者法律很难从根本上解决被恶性使用的问题。我们还是应该从自身出发，规范好自己的数据使用方式。

比如，重要的密码一定要单独设置，相互独立，密码每个季度强制更换。手机不轻易“越狱”，不轻易安装未经安全认证的软件。在处理旧手机时，一定要用专业软件擦除数据。不使用公共Wi-Fi进行支付操作，不在社交媒体上随意发布带定位的信息，快递地址尽量只具体到某快递柜。

数据安全可以先从自身做起。