百度副总裁女儿“开盒”事件，持续引发公众对数据安全的担忧。百度近日连续发表声明称，“开盒”信息并非源自百度，而是来自海外某加密聊天软件。

“开盒”一词，意为违法获取并恶意公开他人个人信息。它最初流行于“饭圈”等群体，近年逐渐进入公众视野。与之紧密相关的，是黑灰产团伙四处兜售的“社工库”，以及猖獗的数据泄露“黑生意”。

什么是“社工库”

所谓“社工库”，全称是“社会工程学数据库”。它不是某个特定的应用程序，也不是某个由指定组织建设、维护的数据库，而是不法分子通过攻击网站、欺诈用户等手段获取大量个人隐私数据，再整合分析、集中归档形成的一类资料集统称。

有网络安全专家向南都研究员介绍，早年间一些互联网平台、行业单位的网络数据安全保护能力不足，不法分子通过网络钓鱼、木马病毒、“内鬼”泄密等手段从多个渠道取得大量个人信息。这些信息经过整合处理后，便形成包含个人身份信息、联系方式、账号密码等的“社工库”，为黑灰产团伙对目标企业或个人实施电信诈骗、威胁恐吓等提供精准的背景资料。

该专家表示，不法分子窃取的这些个人信息在黑灰产行业内经历多次交易后，几乎“人手一份”，难以继续出售牟利，于是被包装成“开盒神器”对一般人售卖，榨干最后一分“商业价值”。“你把手机号、微博号、QQ号之类的线索发过去，对方拿着线索在数据库里搜索，匹配到的个人信息回传给你，‘开盒’成功，这就是背后的原理。”

“社工库”在哪里

为了吸引流量、招徕顾客，这些掌握海量个人信息的“社工库”进入门槛并不高。以此次引发关注的百度副总裁女儿“开盒”事件为例，当事人通过国外手机应用市场下载某款加密聊天软件，稍加搜索，便可加入某个提供“社工库”的群组。

笔者也循类似途径成功加入相关群组。调查发现，只需在群组内添加指定账号，并按格式向该账号提供“开盒”对象的姓名/手机号/邮箱/身份证号等任意一条资料，就可以获得相关个人信息。

“开盒”成本是多少呢？普通用户每天签到1次便可兑换1次个人信息查询机会，通过邀请新用户等其他方式，也可获得更多查询次数。如果想获得无限次查询服务，则须支付70枚USDT（一种以1：1汇率与美元挂钩的虚拟货币），折合约507.5元人民币。

笔者留意到，由于邀请新人入群可以快速获得积分，换取更多免费的个人信息查询机会。