凤凰网《风暴眼》出品

文｜文骅 洄野

爆料邮箱｜all_cj@ifeng.com

编者按：

社工库，在大众眼里是一个陌生的词汇。它隐匿在黑市中，堂而皇之地窥伺我们每个人的生活，有人把它比作互联网的“天眼”。它，是一个数据库，但如果有必要，它能触及每个人的一切信息。

说来荒诞，想试验社工库有多强大时，我们在查询的对象上有点犯难。编辑部的选题会上，有人建议查自己，有人说查领导，还有人提出查查前男友。这是一个有意思的话题，也从背后折射出隐私裸奔的今天：尽管我们总是强调保护自己的隐私，却对别人的隐私充满好奇。

01 每个人都在裸奔

初听“社工库”时，由大脑神经中枢发出的颤栗信号传遍了全身——它几乎能透视个人所有的信息，还明码标价售卖给有需要的人。

一位从未谋面的网友，在5月的一天发来一条信息：社工库，你听过吗？只要一个手机号，就能把你所有收货地址全查出来（所有包括淘宝、京东等一切网购平台），是不是很猎奇，很劲爆？

数据隐私的话题并不陌生，但是像他说的那样俱全，还是让人大吃一惊。林清做了数十年的药品跨境电商，自认对各种隐秘的门路颇为熟识。后来我们约定第二天电话详谈，不过他最终爽约了，原因是他觉得这个话题太敏感，担心报道后，我会遭人报复，被人扒个底朝天。

当然，这是后话。在社工库那个无所不包的隐秘世界里，我们每个人都被一串串字符赋予精准的画像：名字、地址、年龄、学籍、社交账户，乃至许多法律禁止交易的信息——身份证号码、某地某时和人居于某家酒店的记录、网购商品、社保信息乃至所有的社会关系和实时定位轨迹，只要有人愿意花钱，谁都可以随心所欲地窥伺我们的一举一动，甚至知晓我们多晚没有回家，何时点了一份外卖，有没有加辣。

这些翔实的数据，大多来自公开报道中的黑客攻击造成的泄漏。雅虎曾在2013年遭到黑客攻击，泄漏的账户超过30亿；淘宝网于2019年11月也遭到黑客爬虫，涉及11亿条用户数据；职业网络巨头领英曾有7亿条数据被散播在暗网论坛上；新浪微博在2020年也被曝出，5.38亿微博用户及其个人信息被黑客获取；网易邮箱于2015年10月，也疑似有过亿用户信息，在暗网售卖（尽管网易辟谣，但是网上相关泄漏说法不绝于耳）。

网站数据泄漏的案例不胜枚举。最近的一次史诗级泄漏是Resecurity公司今年2月发布的报告，报告称黑客组织入侵了亚洲最大的两家数据中心，悄悄潜伏2年之久，影响范围包括阿里巴巴、腾讯、华为、苹果、微软、亚马逊、沃尔玛、高盛、宝马等国际巨头在内的2000多家企业。

持续不断的数据泄漏让我们裸奔在网络世界里。这为社工库提供了天然的便利。它可以无限地集纳信息，如滚雪球一般不断扩容壮大。4月24日，某社工库发布通知：“目前总入库数据1.5亿，还有七亿数据正在披星赶月上传中。”也有社工库自称综合数据量有150亿条以上，另一社工库则自曝总数据450G，人口数据有8亿条以上，包含2011-2022年知名公司泄漏的大数据。

社工库客服承诺银行渠道查询信息保真

我最终选择了一个最低的收费项目——查询一个月流水。在对方给出支付方式u币支付和支付宝时，我选择了后者，不过需要额外支付10%的手续费，一共支付了2750元。不到四个小时，我收到了一份详细的Excel表格，里面列出了我的银行卡里某月每笔交易记录，包括交易时间、交易款、余额、交易对方等信息。

为了验证信息真伪，我在手机银行里调取自己的消费记录，一一核对后，信息完全吻合。

尽管提前做了各种预设，但结果还是让人大吃一惊！貌似稳固如磐的金融系统，显得如此脆弱不堪。实际上，为了加强流程上信息泄漏的管控，银行已经设置严格的查询流程。

“银行内部工作人员，查询个人流水明细，除了司法查询和继承需要外，是不允许未经个人授权私自查的。而且即使查询，也需要个人上传资料，后台通过集中授权系统授权柜员查询，才能查。查询的结果，也通常是以加密文件的形式发到客户指定邮箱或者当面交给查询人。”在建行工作多年的柜员王付敏也感到诧异。为了搞明白，她还特意跑到主管那里咨询，最后她认真地告诉我，他们也一头雾水。

不只农行，实际上各大行因为未经授权泄漏出来的个人信息，在网上比比皆是。

“内鬼”身份隐秘，很难发现。即使是身边同事，也不易发觉。李菁为企业做过许多漏洞排查。在他的实际工作中，最难发现的不是黑客攻击的技术漏洞，而是自己人在技术上做的“手脚”。有些技术开发人员会在系统里故意留个“后门”——相当于一个管理员超级账号——这个后门设置有多种方式，比如在内存里留一个托管账户，在成千上万条的程序代码里故意设置一个接口，不深入排查的话，根本不易发现。

李菁也服务过银行客户，但不是银行内部人信息泄漏的案例。在他看来，根据最小接触原则，柜员肯定是拥有最小权限的人。什么样的人才能做“内鬼”？拥有权限级别越高的人越可能。级别高的领导，还有技术开发人员。他举例说，技术开发人员在金融系统上做手脚，还是有很多种方式。譬如，任何一个系统，包括银行，通常上线前都有一个预生产环境，用来测试系统是否正常运行。上线前，系统内部的部分真实数据也会同步到预生产环境里，相关的开发人员和测试人员都拥有接触这些数据的权限。而大部分系统经常要迭代升级，所以预生产环境的使用也很频繁。

信息保护最为严苛的银行都难以避免内鬼泄漏，更何况其他行业。每个社工库里都能看到客服丢出的查询图片样例，有户籍查询带着明显的标识“PLC·公安部全国人口信息库”，还有“美团配送烽火台”“蜂鸟即配”平台内部查询图片等。饿了么、美团外卖、淘宝、京东、圆通都是内部人泄露的重灾区。

淘宝上的个人信息查询服务商

就在那期社工库危害的科普视频下面，有149条评论，其中多人在暗示自身的社工库身份，可以帮人查档。他们甚至一个人可能注册多个账号，在该视频下，举荐名为CAI情报员、社工渗透员、渗透情报员丧彪、Cia数据对接查档、Hack 情报员等账户。但当我循着账户公布的QQ群号潜入群里时，我发现举荐人和被举荐的人，都同属一个组织，他们是至少4个不同QQ群里的管理员。无奈之下，潇潇在评论处多次留言，不要相信这里的其他人。他还强调，保护信息尤为重要，请认真对待！但收效甚微。“这些名字中带有‘黑客’、‘情报’等字眼的人，很大程度上是骗子。”

知乎上设置“社工库”的话题，显示浏览量有2626万，讨论量有1.7万。位居头条的就是一篇关于《社工库杂谈》的转载，文章非常翔实地记载了社工库如何进行数据撞库，并给予演示案例。这篇文章获得723条点赞，近百人评论。

谷歌搜索浏览器输入关键词“社工库”，会产生250万条结果。无人能精确统计，网络世界里隐藏着多少家社工库，多少人以业余或者全职的方式投身其中。因为许多社工库还隐藏在“暗网”里，普通用户根本搜不到。

社工库的信息链条往上溯源，也异常复杂。在社工库里，信息的价格以它自身的价值而定。

而价值，通常由供需两端的大商户协商。流向社工库的数据，已经是在市场上被多方榨取后的数据，价格已经非常便宜。

在地下黑市，黑客攻击获得的数据，为一手数据，经过清洗后，会打有模糊的标签：譬如女性、母婴、金融、中产阶级、华侨群体等，这样的数据通常最值钱，买主大多是诈骗集团或者商业竞争对手。后者会对数据的真实性做测试，比如，黑客会给500个人的联系方式，买方会挨个打电话，如果有50%的转化率，这个数据都会非常值钱。

数据如甘蔗，经过“商业组织”的咀嚼后，原本颜色鲜亮的甘蔗已经干涩了，当被人拿到黑市二次或者多次流通后，就只剩下干燥的浆状纤维，这时才会流通到社工库。

“数据经过的交易次数越多，价格越便宜。”潇潇告诉我，有些一手数据可能每条5元，上万条的数据就高达数万元。等到社工库购买时，价格可能会低到0.1元/条。他记得很清楚，当时有家社工库，购买12亿条快递公司的数据，只花了5000元。

但是，当这些被多次利用的数据流入社工库，面向普通零散用户后，那些无差别的信息，突然因为被人“点名搜索”而变得立体起来。这个人圆脸还是方脸，住在何处，与何人交往， 资产在哪，点外卖是否加辣，喜欢住酒店还是家里，咖啡里是否加糖。因为它满足了个人无法熨帖的现实，价格便陡然蹿升了。

譬如，因为对情人的不满，想要查询相关信息，以泄私愤；因为生意被骗，主谋逃之夭夭；譬如金融大佬卷款逃跑，徒留一批追债无门的投资人；因为情感纠纷，分割家产，想要雇佣侦探查询对方不利的证据。

这完全成了私欲里揣摩挖掘人性的流量生意。社工库里除了细碎的查询服务外，推出了与之相应的套餐，出轨抓奸调查套餐5000元，起诉套餐7000元，抓人套餐（票务监控、实时定位）6000元，报复套餐（封禁账号、手机轰炸）3500元。

社工库的运营者从中赚得盆满钵满。教授黑客攻击技术的一位网络技术人员，委婉地告诉我，有些人依靠社工库，可以轻松地年入百万。

收入真假无法核实。不过，在许多裁判文书里，确实可以发现它的利诱有多大。2014年，山西人牛强通过网上搜索等途径获取公民个人信息，购买了一台服务器，将服务器架设在吕梁市兴县的老家，在服务器上用MYSQL写入数据，搭建了QQ华景机器人自动查询社工库。此后一直到2018年，他为充值的会员提供了84亿多条个人信息，发展了6000多个有效会员，赚了25万多元。

2017年以来，郝帅通过互联网上搜集了70多亿条公民个人信息并建立“社工库”，他的QQ群里每人收取10－198元的入群费用，在群中不定期开放社工库查询，群员壮大到600多人。通过出售公民个人信息，他赚了5万元。

一些不懂社工库但又想分羹的人会寻求成为社工库的代理，负责下游寻找潜在客户。这些代理的行为，在业内叫“找鱼”。

代理环节已经相当边缘了，并没有什么统一行规，可谓鱼龙混杂。但这对社工库而言，几乎是稳赚不赔的生意——代理需要缴纳代理费，然后在“找鱼”的过程中，收取提成。

我也曾以做代理的名义咨询，其中一位客服发来的一份代理价格表显示，代理需要根据不同项目交纳不同数额的代理费。订单为身份证正反照、婚姻史、疫苗接种预留地址电话时，代理费为60元，而个人社保、工作单位相关信息的订单，代理费为150元。提价卖出之后，代理无需费神，就可以轻松赚数百元。

一个社工库的人则建议我可以尝试做群组的管理员。他给出的诱惑是，做代理只能四处找“鱼”，“一条鱼分50元”。而做管理员，则只需要交200元，就可以在群里自己接单、发广告，赚钱后只需要给社工库分红10%。“一个客户能赚二三十元，运气好的话一天能赚四五百元。”

从上游的数据源头到社工库的从业者及其下游的代理们，究竟有多少人，外界无法判断。但是在相关的网络黑产上，人员庞杂。根据互联网经济2018年报道，截至当时，国内网络“黑产”的直接从业者超过40万人，若计入网络“黑产”辅助性质的上下游人员，从业者超过160万人，网络“黑产”年产值约1100亿元。

05 猫鼠鏖战

实际上，这个看似“钱景辉煌”的行当，早已是《网络安全法》里明令禁止的了。

2017年6月，《网络安全法》正式颁布实施，其中有一条明确提出，严禁任何个人和组织窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。违反者，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

这次网络安全法颁布前，发生了一起震惊全国的事件——来自山东的18岁女孩徐玉玉，因为把9900元学费打到骗子的账户而发生心源性休克，不幸去世。一位花季少女原本即将开启人生中最美好而自由的生活，却因为数据泄漏被犯罪分子盯上而陨落，这激起全国人民的愤慨。

许多公司的安全反诈团队，主动联系警方，使用自身的技术向警方提供线索。警方也给予最强力度的投入，创造了“10天”击破诈骗团伙的记录，该案件还入选了“2017年推动法治进程十大案件”。

做了多年网络安全工程师的王皓至今对徐玉玉案记忆犹新。山东60万考生信息泄漏，它带来的危害，已经不只是金钱的损失，还危及了人的性命安全，以及为当事人家庭带来严重的精神创伤，这种恶劣影响已经无法用数字衡量。

数据隐私泄漏，天然地为诈骗分子提供沃土。网络反诈就是与犯罪分子在网络上斗智斗勇。在隐匿的网络空间，网络安全工程师蹲守在电脑一端，试图攻破犯罪分子的“巢穴”。

为了协助警方攻破一个诈骗网站，网络安全工程师李菁与团队的两三个人员和“黑客”反复拉扯了一周多的时间。最开始，他们认为这是一家小网站，可能不懂黑客技术。但在交锋几次后，发现对方对他们的渗透，反应很迅速。每次交锋，当他们即将攻下网站系统，总是被黑客及时发现，然后剔除出去。

李菁团队另想办法，直攻不行，改用社会工程学的技巧，打心理战术。他们找到黑客的真实QQ号，然后伪装身份，加了好友，和其闲聊，建立信任关系，期间得知黑客对监控软件的兴趣，便利用交流技术的契机，给对方发了一个伪装的木马病毒。对方虽然很谨慎，但还是下载安装了文件。这帮助李菁团队很快锁定到黑客上线使用的服务器ip地址，也最终帮助警方迅速抓捕犯罪嫌疑人。

猫鼠大战中，激烈对抗听起来惊心动魄。但大多数情况，因为现实社会中隐匿在另一个端点的敌人会制造种种障碍，让追踪者无功而返。

地方一线办案人员宋峰，入职5年以来，接触过不少信息贩卖的违法案件。他记得一起很典型的快递信息泄漏案例。一家快递公司的工作人员日常检查时发现，公司仓库电脑被人装了监控软件，对公司信息安全产生威胁，于是立即报案。

警方立案侦查后，锁定到一名犯罪嫌疑人身上，嫌疑人曾经做过快递员，对快递行业比较熟悉。警方研判，监控软件就是他购买的，服务器也是其用他人的身份证件租赁的，但他拒不承认，始终称软件是一个叫“林总”的人给他的，他没有参与信息贩卖。

“这怎么可能呢！所谓的‘林总’很可能是虚构的。这个犯罪嫌疑人的手法很老练，而且有比较强的反侦查意识，整个犯罪过程中没有留下任何直接指向自己的证据。”宋峰说，尽管没有证据证实他就是“林总”本人，但是他仍然难逃惩罚——他非法获取信息超过50000条，按照法律规定要判处三年以上有期徒刑。不过想追诉更多犯罪证据，以及信息链条上的其他犯罪嫌疑人，公安和检察机关却一筹莫展。

其中有十分复杂的因素，比如，为了不让“猫”捉到，“老鼠们”早已挖好地洞，变得更隐秘。从支付方式、渠道上设置层层环节，即使追查到收款人，但收款人和实际犯罪人员中间还隔了很多人，而这些人之间根本不认识。即使追查到源头，若犯罪分子把服务器架设到海外，也很难缉捕。

精益求精的技术成了突破限制的关键。公安部为了提高网络安全技术的侦查与反侦查能力，每年都会召集多家网络安全公司进行攻防方面的实战演习。李菁公司每年都会参加。参与者会分成两队，一队是专门攻击网站的黑客，一队是专门防守，俗称白客。李菁通常会扮演“黑客”角色。

“这是红蓝阵营演练的模拟，目的是提高网络安全人员的反侦查能力，也让我们在不停的技术迭代中，不段反思安全技术的升级。”尽管在演习中，李菁所在的队总能突破防守，拿到靶标。但是他反而更加忧虑。因为模拟演练没有输赢之说，他所在阵营赢了，反而暴露了企业系统有多脆弱。

06 个人隐私保护成了“伪命题”？

这场技术、人性、利益的较量中，我们理应学会保护自己隐私，免去受人诈骗的风险。但是，现实生活中，大部分人对“隐私”已经不在乎了。

这是因为个人在网络空间里已经“逃无可逃”。一直在参与全民网络安全决战的李菁，当被问及如何保护个人隐私安全时，也流露出无奈的语气。“日常生活中，隐私被触犯的场景太多了。”

他一口气举了许多例子，社交各平台设置同一个密码，很容易被黑客撞库获得；有人会专门守在一些固定的办公大楼或小区搜集快递信息，还有人会根据朋友圈图片里的标识建筑物等锁定到你的具体地址……

日常不起眼的地方，更是隐藏着“违法抓取你的数据”的各种可能：譬如当你正好在咖啡馆或酒店看视频时，担心流量不够用，想去连接开放式Wi-Fi；或者当手机没电了，恰好自己正在车站等车，车站服务中心共享充电宝触手可及，李菁坚决地说，“不要使用，因为它们很可能会搜集你的身份信息和支付信息”。

但是考虑到实用和便利性，大部分人都会倾向牺牲安全性。这实在太难了！“鱼与熊掌不可兼得，对吧。”李菁安慰我。不过，他也认为，在保护个人隐私上，普通用户能做的还是极其有限，仅仅是在要求密码的设置上，大部分用户都很难在不同平台设置不同的密码。

“拥有数据开发能力或运营能力的公司应该有更多的担当。”李菁说，譬如当用户长期不更换密码时，平台运营商应该给予提醒。还有在网站注册账户时，提醒设置复杂的密码。还要定期做安全测试、安全检查、提升系统的健壮性。

很多网络公司确实都在努力保护用户的隐私。它们内部推出严格的数据保护措施。2021年，阿里巴巴破除了原来的各平台数据打通。商家用户原来可获得订单中的消费者具体数据，包括姓名、手机号、详细地址等，但现在已经不可能了。每个用户都有一个ID，阿里在这个基础上，添加了开放ID，这个开放ID会在每个店铺中都不一样，商户只能看到开放ID。微信也同样有着复杂的ID标识，要求第三方开发者无法获得用户唯一的ID。

但是在隐私和技术的开放性平衡上，公司的表现依然很矛盾。阿里的用户ID在CRM系统里的流转逻辑，阻断了商家在数据上的获取，也间接影响商家私域业务受限，进而也会让平台业务受损。

隐私保护过度也可能引起投资人的担忧。美国数据专家帕夫洛·弗拉霍斯等人曾基于10万个企业环境、社会与治理的非结构化数据，研究企业市值与隐私保护的关系。他们得出的结论是，企业在隐私保护上并非越严格越好，而是呈现“倒U形”关系。这表明，金融市场的看法是，一家公司要拥有用户适当的数据隐私，过量容易给公司带来负面影响。但如果过少也不行，这可能会在商业竞争关系上处于劣势。

大多数互联网公司倾向认为，用户是有隐私悖论的——尽管用户声称关注隐私，但是他们的实际行为表示他们根本不在意——2018年，李彦宏曾在中国发展高层论坛上说，“中国人更加开放或者说对隐私问题没那么敏感，如果愿意用隐私来交换便捷性或者效率的话，很多情况下中国人是愿意这么做的。”

这一观点尽管颇受诟病，但也暗示了巨头们公开搜集用户数据的底层思维。

互联网公司，本质上都是一个大数据公司，它们借此访问了用户爆炸级的数据，甚至借助大数据技术，进行更多的商业探索和创新。我们具体而微的痕迹，譬如浏览商品的类目、对话使用的称谓、访问页面的时长、搜索记录等在它们那里变成了有价值的信息。它们根据用户足迹搭建模型，揣摩我们的心理，预测我们的行为，甚至灌输给我们思想，诱导我们改变行为。

公司越来越了解我们。它们手握庞杂的数据，仿佛指挥我们的“遥控器”。2017年颁布的《网络安全法》也默认了网络运营者对用户数据的收集、使用。前提有三个：平台明示收集、使用信息的目的；经用户同意；收集的均是其提供服务有关的个人信息。

但在顾及商业创新的数据默许之上仍然有一个重要而无法回避的因素——人，只要有人在操控一切，信息泄漏的风险就一直存在。这也是《欺骗的艺术》一书表达的最核心观点。

显而易见的事实是，尽管法律在公司保护个人隐私上要求无论多么严格或者公司多么强调保护隐私，现实中，我们的数据泄漏仍然在指数级增加。

一个直观的感受是，为了保护信息安全，2017年网站实施实名认证以来，我们每登录一个app，也意味着我们被网站收集的个人信息反而更精准了。而网站信息一旦泄露，黑产中流通的将是更齐全的用户信息。

多位网络安全工程师都表达过类似的担忧，2017年网站要求实名认证以前，泄漏的信息其实是比较杂乱而模糊的。但是2017年要求实名后，泄漏的信息已经越来越具体了。

这似乎也意味着，数据失控将成为互联时代的常态。“平台还是有很多作为空间的。”李菁说，平台也将迈入一个强监管的时代。

（应受访者要求，文中李菁、潇潇、宋峰、林清、梁文、黎城、王皓、王付敏等均为化名。）