境外“社工库”黑产调查:300元可买陈旧个人信息,内鬼成泄露源头
近年来,隐匿于境外平台的“社工库”频频进入公众视野,引发诸多关注。这些“社工库”背后的管理成员,面对曝光竟毫不在意,甚至称媒体报道后“咨询量和单子异常地多”。其中,百度副总裁谢广军女儿遭遇“开盒”一事,更是将个人信息保护问题推至风口浪尖。3月19日,百度声明该“开盒”信息源自海外社工库 —— 一个靠非法手段收集个人隐私的数据库。澎湃新闻影子调查队深入探究发现,“社工库”宛如隐秘暗处,普通人难以触及,却被不法之徒利用,成为个人信息非法交易的温床。他们借此购买敏感信息实施“开盒”,一桩桩非法贩卖交易由此滋生。这些库里存储的多是数年前甚至十几年前的陈旧个人信息,来源多为不法分子 “撞库”或非法交易致批量泄露;而精确信息,则需部门、公司“内鬼”配合方能获取。
记者亲身体验“开盒”风险,与境外社交平台“社工库”联系,扫码付款300元后,得到自己多年前的姓名、手机号、QQ号、住址等信息。当要求查询更多时,对方索要额外费用。在另一被曝光“社工库”,记者签到领积分就免费查到本人5到10年前的信息,其报价单显示,支付80元至 9700元就能深度查询隐私。网络安全人士透露,“社工库”外网长期存在,宣称能查多种个人信息,实则比对数据库交易牟利,背后是非法产业链。特别提醒,“开盒”及买卖个人信息涉嫌侵犯公民个人信息罪,需担刑责,登录境外平台交易还易受骗。
记者进一步调查发现,通过关键词检索与境外“社工库”接触,对方称姓名、电话等信息均可查,明码标价且先付款。记者提供姓名查询电话住址,付款300元后收到多年前旧信息。再要求查新住址与家庭成员信息,追加300元却未得到结果,对方称需深度查询继续加钱,记者为防骗未再支付。付款所用微信收款码对应账户“Hahaa”和“白熊”,疑似浙江温州平阳有门店,登记手机号属地分别为河南南阳、浙江宁波。记者致电,前者无人接听,后者男子称未收款、未出借账号信息。记者报警并投诉,腾讯平台回复收款为个人账户,是否违规将审核,建议通过小程序投诉上传证据,账号信息因涉隐私需执法部门调取,付款人难以追踪资金流向。
公开资料显示,“社工库”是用社会工程学手段收集整理个人或组织信息的数据库,涵盖姓名、电话、户籍等敏感数据,来源多样,包括公开渠道、网络钓鱼、恶意软件及平台泄露等。境外网络充斥各类社工库,群组活跃,多采用机器人自动查询,购买详细信息可联系管理员。某“社工库”查档价格表显示全家户籍、婚姻记录等均可查,收费几百到数千元,还有签到、邀请新用户等优惠获查询机会。记者查询发现能查到身份证号,但手机号、家庭住址等信息陈旧。另一社工库称3000元可查微信聊天记录,业内人士提醒外人难查,且“社工库”有骗子,部分收费信息来自免费非法数据库。需注意,买卖个人信息触犯刑法,情节严重将面临不同刑期与罚金处罚。
“内鬼”也是个人信息泄露关键源头。警务、房产、银行等领域频现“内鬼”贩卖信息情况。如2023年多地17名警务人员非法查询公民信息获刑,大邑县公安局辅警何某伟2019-2020年利用职务之便,非法查询出售车辆登记、户籍等信息,获利55万余元,被开除公职、判处有期徒刑三年八个月并处罚金30万元。2024年住建部通报5起房地产中介侵权案例,柯某运营“房利帮”网站APP,激励中介上传业主房源信息,出售30余万条获利150余万元,被判处有期徒刑三年,缓刑四年并处罚金160万元。银行领域,2016 年绵阳警方破获“5・26案”,抓获银行行长等15人,查获257万条银行客户信息、涉案资金230万元;2021年湛江某银行客户经理王某非法出售31465条客户账户信息用于推销贷款。公安部今年3月通报案例还涉及教培、法律服务、快递等行业,如北京海淀刘某团伙用木马程序窃取教培机构客户资料;广东东莞林某成等人开法律服务公司非法获取信息牟利;甘肃张掖李某飞勾结快递人员窃取订单信息出售,各地公安机关抓获大批嫌疑人,打掉多个犯罪团伙。
从事网络安全人士指出,外网“社工库”猖獗已久,早年网络数据保护不足、行业不规范,不法分子通过网络钓鱼、“内鬼”泄密收集大量个人数据,拼凑比对出基本信息用于交易,甚至实施电信诈骗、网暴等犯罪。如今平台加强数据保护,“社工库”多为陈旧信息。且其交易多在境外网站平台,不法分子境外藏身,打击难度大;购买信息违法,受害者被骗金额不大常不报警。交易收款多采用微信二维码,不法分子用他人名义办收款账号,钱到账迅速转走,关联身份、手机号、银行卡买卖盗用问题,警方排查困难。该人士强调,杜绝“社工库”乱象需各方协同发力,互联网平台、通讯运营商、银行、公安机关等应联合行动,逐步完善规范,斩断个人信息非法买卖链条。
(来源/澎湃新闻)
页:
[1]