只要有一个线头,就极有可能寻找出与之相关的大量真实个人信息。
一直以来,在广州读书的大三女生刘莫以昵称现身网络,匿名冲浪。她和无数年轻人一样,在微博刷新闻,在豆瓣聊八卦,大部分时间潜水,偶尔发发消息。她不想让网友知道自己的现实身份,也不愿意让现实中人关注自己的网络账号。两个世界彼此割裂,这种割裂给了她极大安全感。
直到她卷入“百度副总裁女儿‘开盒’风波”,才发现自己的隐私信息暴露得如此简单。
3月15日,她看到一位素人孕妇网友,因为吐槽某韩国明星,遭到其国内粉丝“开盒”。微博昵称为“妳的眼眸是世界上最小的湖泊”(简称“眼眸”)和“美阴阴”的粉丝等人,顺着吐槽人的社交媒体ID,找到其真实姓名、电话、工作单位等信息。之后,诅咒、谩骂和威胁席卷了这名素人孕妇的生活。
看到这些,刘莫血气上涌。中午12点,她发了一条“给素人孕妇道歉”的微博,想要为受害人鸣不平。点击“发送”后,她就去做别的事了。
与此同时,“眼眸”等人,正陆续“开盒”与自己对抗的网友们。2个小时后,刘莫刷豆瓣时,发现“美阴阴”已经找到并公开了她的真实姓名、手机号和QQ号。
脑袋瞬间“嗡”地一下,刘莫慌了神。
“盒武器”的诞生
“开盒”是一种“终极武器”,即通过非法手段获取并公开曝光他人隐私数据。匿名的保护被撕破后,不仅线上的网络暴力会变得更加猛烈,线下骚扰和攻击也会纷至沓来。
这其实不算新鲜事。“开盒”的前身是“人肉搜索”(简称“人肉”),在中国第一次出现,是2001年前后。那时“天涯”“猫扑”等网络论坛兴起,网友们会通过“人找人、人问人”的方式,在网络中检索某个人的蛛丝马迹。
“人肉”的门槛不低,每次行动都需要很多人参与,甚至还要通过线下蹲点、跟踪来获取信息。因此,它就像核武器一样,虽然杀伤力极强,却很难被轻易使用。
如今,其成本已经降低到约等于无,还换了个称呼,叫“开盒”。有些渠道中,最低5元就能查一次,甚至还允许用户1天免费查询2次。
成本一降再降的根本原因,是网络注册需要提交越来越多的个人信息,数据保护却不到位,导致网友信息遭到泄露。
其量之大,难以估量。据新华社报道,来自网络安全服务商奇安信的数据显示,单是2024年全年,境内政企机构共发生个人信息泄露风险事件112起,涉及个人信息数据266.9亿条。据商丘市睢阳区人民法院披露的案件,一名大学生自2019年11月起,通过数据爬取等方式,盗走淘宝大量用户数据,超过11.8亿条用户信息泄露。2020年,媒体报道“新浪微博5.38亿条用户信息”的数据包在暗网出售后,工业和信息化部网络安全管理局也对新浪微博相关负责人进行了问询约谈。
包括刘莫在内的普通人,并不知道自己的信息泄露于何时。就在人们没想到的地方,这些数据,被别有用心的人收集起来,做成了全自动“人肉”引擎。只要输入一个社交账号,就可以得到对方包括户籍信息、家人户籍信息、开房记录等大量隐私信息。
曾经的“人肉核武器”,变成了触手可及的“盒武器”。
“超级档案”
为了拼凑出一个人事无巨细的“超级档案”,光靠一个黑客盗取的一个数据库远远不够。手机号这个常用来注册又独特的信息,就成为各个独立数据库之间的关联线索。
刘莫等人散落在不同平台的隐私信息,才因此被找到。在这个庞大的数据库中,“开盒”他人的“眼眸”“美阴阴”等人的信息也同样早已被待价而沽。
据刘莫介绍,一开始,受害者们想要报警维权。很快他们发现,通过法律途径维权非常困难。
“开盒”作为一种线上活动,在当下以线下社会为基础而发展起来的法律体系中,仍是个难以界定的问题。“现有法律规范,针对的更多是原来的线下社会,已经跟不上当前网络社会的发展。”长期关注个人隐私保护问题的清华大学法学院教授劳东燕说,“如果演变为网络暴力,可能涉及诽谤或侮辱,这都是自诉犯罪,取证基本上需要自己完成。同时,目前个人信息保护法以及数据安全法所规范的主要是提供网络服务的平台与其他网络服务提供者,没有适用于普通个人‘开盒’行为的条款。比如侵犯个人信息罪,只打击获取的环节,惩罚的是非法出售、提供与获取的行为,不涉及传播和使用的环节。”
更何况,个人隐私信息的交易与传播链,复杂无序,不好追踪。劳东燕介绍道,“个人信息在网络上可能经过了多次传播,但经手的人几乎都相互不认识。无法追溯信息来源到底是哪里,在法律上也不一定能认定实施传播的行为人明知个人信息的来源非法。”
北京市致诚律师事务所律师陈强长期关注未成年人案件,对此也不陌生。“‘开盒者’在网络上活动,一般不使用自己手机号码等实名信息注册的网络账号,很难锁定其身份。这是维权的一大难点。”
结果,“开盒”受害者们只能使用“开盒”的方式来反击。最终,核心始作俑者“眼眸”的信息被暴露。13岁的她,原来是百度一位副总裁的女儿。
面对公众质疑,百度不得不发表声明,否认“眼眸”“开盒”信息与百度有关,其信息的真正源头,是海外一个大型“社工库”。
这个名称源自“社会工程学”,是传奇黑客凯文·米特尼克在2002年提出的一个概念。他的主张是:当无法利用技术弱点解决对方时,就攻击人性的弱点。
这些弱点包括人的好奇心、贪便宜。他们会伪装成服务提供商或政府机构,诱使对方点击恶意链接、下载感染文件进行网络攻击。
类似地利用很多人一组密码全网通用的心理,社工库还会用“撞库”(测试用户是否在多平台使用相同密码)技术,进一步扩大数据量。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲在接受新华社采访时表示,一些机构在设置数据接口时缺少身份认证、访问控制等安全措施,导致黑客能够随时“劫持”接口并获取实时数据。在一次安全测评中,测试人员发现有6万份订单数据有可能源于某平台的数据接口泄露。
这些攻击往往不露痕迹,甚至还一步步升级。现在的网络黑市,已经从过去的数据库“打包贩卖”服务,升级成能够针对个人的“生成报告”。
据报道,近期“开盒”网暴事件发生后,有不少社工库暂停了服务。处于事件中心的“天网社工库”则设置了消息禁发,用户已经无法再免费查询信息。
不过,即便一个社工库关了,只要需求不消失,提供“开盒”的服务就不会消失。
线上社会的魔盒
在刘莫和群友们一起寻找“开盒者”的过程中,他们逐渐发现,参与攻击的都是年轻人,甚至很多是未成年人。其中,群友张念报警查证后发现,他们年龄最大的刚过完24岁生日,最小的就是那位百度副总裁的女儿,才13岁。
报警后,张念曾向几位“开盒者”或其监护人打去电话索要道歉。让她印象深刻的是,这些在网络世界肆无忌惮的人,接到她从派出所打去的电话,“一个个都吓‘死’了,说‘求求你千万不要告诉我妈妈。’”
陈强律师在做未成年人法律咨询时,曾接触过一个打工的17岁少年,他因工资问题和老板发生矛盾后,并没有向司法机关或劳动监察部门寻求帮助,而是通过暗网“开盒”了老板,还购买了短信轰炸服务,对老板进行威胁。
“未成年人使用网络的能力其实远超大多数人想象。‘开盒’本身需要一定网络技术能力,比如你要知道如何访问境外网站,如何通过特定的渠道找到服务供应商。”陈强律师遇到过许多自己找到“开盒”门路的少年,“但同时,他们的网络法治意识也很淡薄,遇到一些问题时,很可能通过这种违法手段去解决。”
这与未成年人的心智不成熟和违法代价小有关,但又不完全是年龄带来的问题。“其实不止未成年人,我们普遍都还没适应互联网带来的这种变化。”劳东燕说,传统社会具有物理性屏障,公共领域跟私人领域区分还是比较清楚,私下的言行,几乎不太可能通过报纸、电视台这样的传统媒体进行传播,因为传播媒体对普通人来说不易获得。但在网络时代,你私下发表的网络意见,键盘敲下的每一句话,虽然看似是在私人场合发表,但实际已经进入公共领域了。而且,个人信息泄露的渠道与途径如此之多、之广,导致现有的法律救济手段很难起到作用。
不过,就算知道很难,张念还是打算联合群友,通过法律手段解决问题。“这都是无妄之灾,我不能无故承受”,她说,“任何人都不该”。
