“開盒”風波後百度解答疑慮：任何職級都觸碰不到用戶數據

（原標題：“開盒”風波後百度解答疑慮：任何職級都觸碰不到用戶數據）

3月20日，針對日前捲入“開盒”風波後外界產生的信息安全疑慮，百度在媒體溝通會上進行了釋疑：此次“開盒”數據的源頭是海外社工庫，並非來自百度。百度經過反覆排查，排除了公司副總裁謝廣軍泄露嫌疑。

隨着事件發酵，黑灰產對數據治理與數據安全的挑戰也暴露在大衆面前。百度方面呼籲，在相關政府主管部門的指導下成立“反開盒”聯盟，並提醒廣大用戶注意隱私信息保護。

百度：“任何職級都觸碰不到用戶數據”

百度安全負責人陳洋表示，相關“開盒”信息源於當事人通過海外社交平臺從社工庫獲取，並非在百度工作的當事人父親爲其提供，“在百度任何職級的員工及高管均無權限觸碰用戶數據。”

因開盒網友事件中當事人百度副總裁之女的特殊身份，此次事件引發了外界廣泛關注。百度高管是否會利用工作便利爲家人提供用戶的私人信息——這成了網友和媒體集中關注的問題。

在陳洋的現場演示中，當普通用戶“張三”註冊了一個百度賬號，系統首先會對其進行假名化處理，用戶的真實姓名不會被直接存儲在數據庫裡，而是以一串數字代碼組成的“假名”代替，並形成密鑰來鎖住相應的信息。除了身份數據，用戶在使用產品過程中形成的產品數據也會進行類似的加密處理，且身份信息、產品信息會分別擁有一把獨立的“加密鑰匙”。

“所有用戶敏感信息都會進行加密處理。即便有人拿到了數據庫中的部分數據，這些數據也無法使用，因爲它們不僅被加密，並且’鑰匙’存放在其他地方，由不同的部門掌管。”陳洋說。他表示，基於業務部門、安全部門、稽覈與內部審計三道防線，在一系列安全機制之下，在百度，任何職級的員工無權觸碰用戶數據。

隨意“開盒”隱私信息，海外社工庫黑灰產猖獗

“開盒”事件中，網友信息到底從何而來？3月19日晚百度發佈的公告中稱，經過調查，涉事高管女兒獲得的開盒信息來自海外的社工庫——一個通過非法手段收集個人隱私信息的數據庫，而連接這個社工庫是海外社交平臺Telegram。

陳洋介紹，當公司調查團隊通過Telegram進入當事人獲取相關信息的“天網社工庫”後，復現了其獲取網民數據的過程，並對相關調查過程進行了公證。陳洋還在現場展示了北京市精誠公證處的公證原件。因此次事件曝光後，目前，“天網社工庫”對外暫時關閉了服務。

據悉，在這些非法收集個人信息的“社工庫”信息羣裡，只需要輸入一個身份證號，就可以查到與其關聯的QQ號、微博、郵箱、常用密碼、手機號關聯的地址，甚至開戶開房記錄、全家戶籍、名下銀行卡等大量隱私信息，就能被輕易“開盒”。

記者發現，這些一個個以羣組形式出現的社工庫信息羣裡，幾乎每秒鐘都有新的“開盒”信息被髮送出來，如同一個車水馬龍的交易市場。而當這些個人信息被“開盒”之後，相關信息就如同草芥一般被隨意展示在各個信息羣裡，任何加入羣組的人都能看到這些隱私信息。

“開盒”行爲令個人隱私暴露無遺，開盒的門檻卻極低。爲何一個13歲的小女孩就能輕易進行“開盒”？陳洋說，涉事女孩在國外上學，當其在國外查詢“免費查人”後，就獲得了推薦其下載Telegram的搜索結果。她通過外網可以毫無限制地使用Telegram，就完成了開盒。至於網上流傳的“當事人承認家長給她數據庫”的截圖，百度相關負責人表示內容爲不實信息，已經對此報案。

一位從業十餘年的網絡安全工程師透露，在Telegram上，人們“開盒”的門檻越來越低，過去想要通過這種模式查詢隱私信息的成本爲幾元到幾百元一次不等，而如今，這類黑灰產也借鑑了互聯網產品的免費模式，用戶每天可以免費查詢也就是“開盒”2次他人信息，還能通過簽到獲取積分等方式獲取更多的免費“開盒”機會。

建議普通用戶謹慎分享個人信息

社工庫裡海量的個人信息，從何而來？用戶在各種網站上的信息，又爲何會被“社工庫”拿到？

陳洋分析，這些個人隱私信息通常有三種泄露渠道，一是黑客入侵網站漏洞後抓取，二是黑灰產人士通過爬蟲爬取，三是通過數據交易被獲取。

陳洋稱，從2014年起，百度就啓動了漏洞獎勵計劃，通過漏洞收集及應急響應平臺公開懸賞安全和隱私漏洞。

面對灰黑產帶來的隱私泄露困境，普通用戶如何保護自己的隱私？陳洋建議，普通用戶在社交媒體等平臺上要謹慎分享個人信息，並避免授予不必要的權限。同時，他建議大家不要訪問未知網站，在不同平臺儘量使用不同的賬戶名和密碼，警惕不明來源的問卷、抽獎活動等，避免因貪小便宜而泄露個人信息。