起底“开盒”背后的“社工库”：处于黑产链中游

3月19日晚，针对“谢广军女儿开盒”事件，百度发布声明表示，事件相关信息并非来源于百度。经过调查，开盒信息来自海外的社工库——一个通过非法手段收集个人隐私信息的数据库。相关调查过程已取证，并得到公证机关公证。 此前，据南都报道，百度副总裁谢广军在回应中提到，女儿系从海外社群网站上获得他人隐私信息并发布。 陕西恒达律师事务所高级合伙人、公益律师赵良善认为，“开盒”获取他人信息，侵犯了他人的个人隐私及个人信息权，涉及民事、行政与刑事法律责任。 调查： “社工库”自称可查询多种信息 还启用机器人查询业务 此前，红星新闻曾报道“开盒”社交媒体群。在以“开盒”为核心的海外社交媒体群中，起到“开盒”作用的工具多被称为“社工库”。除去各个领域的“开盒”分支外，海外社交媒体群内也存在不少单独的“社工库”频道或群聊，运营者自称可以根据部分身份信息，获取更多相关个人隐私内容，包括快递外卖地址、本人户籍及家人户籍等。
3月19日，红星新闻记者注意到，在一个网络技术交流平台上，有人曾总结流行的“社工库”账号，每个“社工库”均关联一个海外社交媒体账号或群聊。
记者根据指引进入多个“社工库”账号，其基本模式包括群聊、机器人及客服三种情况。在群聊中，由运营者发布可供查询的信息类型范围、参考结果模板等；机器人负责处理简单的查询业务；客服则负责处理更复杂的业务。
记者看到在一个“社工库”群聊内，用户均可与机器人互动，“相关说明”称，发送网络账号信息即可查询其他关联信息，有人凭此获取其他网络用户的身份信息。在机器人负责的简单业务查询中，往往以群聊“积分”兑换查询额度，积分可通过推广等方式免费获取。一份“社工库”查询表格显示，需人工操作的，收费数百元至数千元不等。
此外，不少“社工库”群聊中，发布内容夹杂着其他涉赌、涉贷黑灰产广告，以此“引流”至其他业务。 论文： 有组织分工明确的‘网络黑色产业链’
建议摸排相关情况 澎湃新闻曾报道，2020年3月21日，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工信部网络安全管理局对新浪微博相关负责人进行了问询约谈，要求其进一步采取有效措施，消除数据安全隐患。
2023年，《通信企业管理》期刊刊发文章《社工库信息泄露事件对加强数据安全防护的启示》，作者单位标注为中国电信研究院。文章提到，2023年2月，国外社交媒体群聊大面积转发一社工库查询机器人链接，网传该机器人泄露了数十亿条个人信息，以快递信息为主。经数据验证和分析，所泄露信息真实有效。
文章称，“非法获取敏感个人信息并用于营利为目的的活动已形成有组织、分工明确的‘网络黑色产业链’：上游为提供技术支持的黑客，或者泄露敏感个人信息的‘内鬼’；中游为社工库，即‘黑产’地下数据库的运营方，社工库数据被反复清洗、聚合榨取价值；下游是实施‘黑产’犯罪行为（如诈骗、洗钱、骗贷）的团伙。”其建议摸排“黑产”社工库情况。
华侨大学一篇硕士专业学位论文《面向网络渗透社工的用户信息挖掘与分析》提出，随着互联网安全技术的发展，系统漏洞的发现越来越困难，越来越多的入侵者采用人为因素变相地创造漏洞进行攻击，这在一定程度上扩大了社会工程学的应用范围。
在网络安全领域，“社工库”的“社工”，实为“社会工程学”的缩写，与社会工作、社区工作者毫无关系。北京邮电大学一篇博士学位论文《基于威胁预测的社会工程学防御技术与策略研究》中称，社会工程学主要是指“利用欺骗手段诱使他人泄露个人信息，尤其是在很多不知情的情况下未经授权访问计算机系统或网络”。社会工程攻击可以分为三类，其中一类为“基于技术的攻击”，是通过互联网社交网络或在线服务网站进行攻击，收集攻击目标的敏感信息，如个人隐私信息、用户密码、信用卡敏感信息等。

这事又境外势力背锅了？公证机构除了收钱之外，有什么公信力吗？他们可是明确规定对公信内容真伪不负责，有问题是提交公信申请的人承担法律责任的。