中國開盒產業鏈

　　3月20日下午，鬧的沸沸揚揚的“百度副總裁女兒開盒孕婦事件”，總算等來了百度的通報。

　　百度主要通報了三點調查結果。第一，百度副總裁謝廣軍沒有調取百度用戶個人數據的權限，第二，所謂副總裁女兒承認“家長給的”，其實給的是紅包，而不是數據。第三，開盒數據并不是來自百度，而是主要來自境外軟件。

　　這個事情的背后，埋著一個巨大的問號，為什么開盒別人會如此容易？因為在我們看不見的陰暗面，有一條隱秘且門檻非常低的——

　　開盒產業鏈。

　　一

　　首先，我們要搞清楚什么叫開盒。

　　為了便于理解，你可以將“開盒”，視為“人肉搜索”的升級版，本質上都是在網上曝光你的真實身份。

　　在互聯網的上古時代，所有人都是匿名的。

　　那時候有一句話叫：在網上，沒人知道你是一條狗。

　　但是隨著博客、QQ空間的問世，大家在發布動態和曬照片的時候，也往往會暴露出一些個人信息，如果有心人把這些信息進行整理拼湊，那就能基本還原出這個人的真實情況。

　　這就是人肉搜索。

　　比如早期的網紅芙蓉姐姐、毒藥等，都遭遇過人肉搜索和網上曝光。

　　在“人人參與”的加持下，人肉搜索的效率非常高，比如當年著名的“貓撲虐貓女”事件，從其虐貓到網友扒出其真實身份，只用了6天時間，比警方的速度都快。

　　從此，互聯網匿名時代徹底結束了。

　　其實一開始，“人肉搜索”，還可以簡單理解為一種“輿論監督”，在揭露惡人、打擊犯罪等行為時，往往能起到很大作用。

　　但另一方面，人肉搜索中，不可能人人都能真正保持冷靜和超然的道德感，網絡暴力也就應運而生。

　　還好，人肉搜索是有門檻的，需要很多人參與，甚至采取線下蹲點、跟蹤來獲取信息。所以，雖然人肉搜索的負面作用巨大，但它就像“核武器”一樣，不會被輕易使用。

　　而“開盒”的誕生，徹底把這個門檻削平了，把需要很多人參與的人肉搜索，變成了一對一的“開盒服務”，這樣就相當于人人都可以有核武器，人人都可以用核武器。

　　發展到現在，“開盒”已經發展出了一條上中下游齊備的完整產業鏈。

　　產業鏈上游，也就是數據泄露，以“社會工程學工作者”和內鬼為主。

　　啥叫社會工程學工作者？這里有必要介紹一下社會工程學。

　　社會工程學（Social Engineering）這個詞，在2002 年由傳奇黑客米特尼克提出，其核心觀點可以理解為：當無法利用技術的弱點解決對方時，就用人性的弱點解決對方。

　　你可以把“社會工程學工作者”理解為黑客，而且是那種心思比較活泛的黑客，種種手段讓人防不勝防，他們往往會利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行攻擊，你就算技術防護做得再好，也很難保證百分百安全。

　　這樣一來，黑客就可以輕松攻破很多數據庫，然后把數據庫打包下載到自己的電腦上，行話叫“脫庫”。

　　在早期，這種脫庫行為還都是單打獨斗，但現在已經變成了團隊作戰，而脫庫目標的選擇，主要是兩種：

　　自發式和定制化。

　　自發式，主要是黑客看哪個數據庫價值大，就主動去攻擊爆破，然后脫庫。

　　但問題在于，脫下來的庫未必有人愿意要，可能白費工夫。二是買家也擔心，庫買來了，黑客又低價賣給別人。

　　所以現在，又出現了定制化脫庫，一般都是客戶想要哪個網站的數據，然后找黑客去脫庫，黑客脫庫后拿到傭金。

　　比如，某個互聯網公司想拿天使輪，但客戶不夠啊！于是就找來黑客，去脫某個友商的庫，拿到數據后做個虛假運營，就可以輕松騙來投資。

　　按照規矩，黑客拿到數據后，交給上家拿到傭金，是不能把數據二次出售的。

　　但問題在于，數據也是錢啊！黑客會選擇用這個數據庫進行利益最大化操作，這就是傳說中的——

　　撞庫。

　　撞庫原理也很簡單，主要是利用很多人“一碼走天下”的懶惰心理。

　　假設，你在A網站注冊ID是“張三”，在B網站注冊ID也是“張三”，那么只要黑客拿到了你在A平臺的賬號和密碼，去嘗試登陸B網站，如果你倆網站的密碼是一樣的，黑客就能“撞”進B網站。

　　當然，黑客可不是一個一個去試，而是擁有自己的數據庫匹配登錄技術以及打碼機制，進行批量撞庫。

　　只要成功撞進去，那么你在B網站擁有的一些金幣啊、預存款啊、網游裝備啊，那么就能輕易被轉移走。

　　這種操作，行話叫“洗庫”。

　　有時候，黑客撞成功一個網站后，會拿著撞成功的用戶ID和密碼（說明這個人懶，喜歡所有網站一個密碼）把所有大的電商、網游等等網站都撞了，這就是撞庫—洗庫—再撞庫。

　　當然，數據泄露的元兇，不僅有黑客，也有內鬼。

　　二

　　中國20年的移動互聯網發展，造就了無數分散的、無人統計、難以監管的龐大數據系統，大的有大互聯網企業、快遞平臺，中的有一些大醫院、大學，小的有一些培訓機構、物業公司，甚至哪怕一個小小的快遞員，手中都能擁有幾千人的數據。

　　大的互聯網企業在數據安全方面，相對來說比較重視，數據管理流程也比較正規。可是一些小機構，基本談不上什么數據管理意識。

　　無論是物業保安還是訂票人員，無論是培訓老師還是快遞員，都有機會接觸到詳細個人信息，一旦他們監守自盜，后果不堪設想。

　　在境外網絡群組中，隨便留意一下就能看到一些招募“長期合作”的“相關專業人士”的廣告，話術一般都是“日入過萬”“快速變現”，誘惑一些掌握關鍵數據的人員加入，還一對一指導對方如何規避風險。

　　結果，總有一些人抵擋不住誘惑，成為內鬼，為一點蠅頭小利，而把數據賣給黑客。

　　現在知道為啥你剛訂了機票，就接到取消航班的詐騙電話；你剛生完孩子，就有人打你電話推薦臍帶血；你孩子剛剛上學，就有人推銷課外班了吧？

　　這顯然都是內鬼在作怪。

　　這些數據，零零總總都會匯總到黑客那里，由黑客進行販賣乃至撞庫、洗庫的操作。

　　等把市面上能洗的庫都洗得差不多了，黑客也會繼續把數據庫榨干最后一點價值，將其賣給社工庫。

　　社工庫，是開盒產業鏈的中游，以“庫主”為主，這個群體可就比黑客群體大多了。

　　在黑客圈子里，自己搜集或者竊取的網絡數據，一般都會放到暗網去售賣，而很多信息一直到黑客掛出來，數據管理方才知道泄露了。

　　2019年11月，淘寶遭遇數據爬取并盜走大量用戶數據，超過11億8千多萬條用戶信息泄露。

　　2020年，標題為“新浪微博5.38億條用戶信息”的數據包在暗網出售，號稱包括用戶ID、賬號發布的微博數、粉絲數、關注數、性別、地理位置等，隨后工信部約談了新浪微博相關負責人。

　　2022年，《環球時報》披露，上海某科技公司因數據庫存在未授權訪問漏洞，造成部分數據泄漏被傳輸到境外（圈內的應該都知道是哪個事件了）。

　　2024年，《每日經濟新聞》刊發《知名企業家個人信息遭大規模泄露，涉蜜雪冰城、榮盛、森馬、蔚來等，平均約2分錢一條！賣家稱數據上億》，連很多大老板的手機號都曝光了！

　　以上還只是曝光出來的，沒曝光出來的有多少？細思極恐了。

　　這些被掛上暗網的數據庫，絕大部分都會被一些社工庫的“庫主”買走。

　　“庫主”要這些數據庫干啥呢？很簡單，豐富自己的社工庫。

　　要知道，黑客獲取的數據，雖然信息量大，但內容相對來說比較單一。

　　比如黑客攻破了某個醫院的數據庫，拿到的無非也就是姓名、病歷、手機號、身份證號。

　　所以，單一數據庫，是無法知道某個人確切信息的。

　　但是請注意，這些數據里面，大都包括一個共同數據——手機號。

　　在這個手機號已經實名的時代，大家換手機號已經不像20年前那么頻繁，一個手機號用一輩子太正常了。

　　但問題在于，這樣一來，就相當于給各個獨立的數據庫之間，形成了一把能夠把數據關聯起來的“鑰匙”。

　　黑客可以通過手機號這把鑰匙，拼湊出一個人完整的社會數據，包括QQ號、微信號、身份證號、家庭住址乃至哪里畢業、看過什么病、婚姻情況等等。

　　這樣一個拼湊完成的數據庫，就是社工庫，在社工庫里，任何人都是絕對透明的。

　　什么叫“大數據時代無隱私”？這就叫。

　　當然，社工庫是一個積累的過程，今天補充一點醫院數據，明天補充一點旅游網站數據，后天補充一點訂票網站數據，這也就是庫主不斷要買新數據的原因。

　　曾經有社工庫在招攬客戶的時候自曝，自己的綜合數據量有150億條以上，還有的社工庫則自曝總數據450G，人口數據有8億條以上。

　　等“庫主”的社工庫建好，就能搖身一變，成為開盒產業鏈的信息服務商。當然，庫主這一行門檻并不高，所以很多人都可以參與，這也導致“庫主”多如牛毛。區別，無非也就是誰的數據庫信息全一些，誰的不太全罷了。

　　從社工庫這個中游再往下捋，就是開盒產業鏈的下游——售賣。

　　說個冷知識，社工庫的主要服務對象，其實并不是開盒產業，而是電詐產業。

　　相比零零散散的開盒業務，社工庫的庫主更喜歡電詐的“盤主”和“金主”們，他們財大氣粗，一口氣就是買幾百萬乃至幾千萬條數據，賺錢容易多了。

　　為什么我們有時候接到電詐電話，對方都能準確報出我們的姓名、身份證號，甚至網購訂單、機票訂單甚至還有看病信息？這背后的源頭，就是社工庫。

　　至于開盒嘛，“庫主”才懶得一個一個對接需求，他們只會提供一個查詢權限給“查詢服務商”，由“查詢服務商”去招攬開盒顧客。

　　“查詢服務商”數量繁多，不少“查詢服務商”都號稱可以查到個人戶籍、婚史記錄、身份證正反面、名下房產、銀行卡流水、開房同住人員、出入境、個人軌跡、學籍學歷等各種隱私信息。

　　而查詢價格，也根據查詢類別的不同而有所不同。比如個人戶籍10U，婚姻記錄50U，外賣記錄100U（U是USDT，一種以1:1匯率與美元掛鉤的虛擬貨幣），等等……

　　值得一提的是，查詢的門檻并不高，只需要下載和稍微搜索一下，就能加入某個“XX社工庫”的群組。

　　進入群組后，“查詢服務商”一般會給你一兩次查詢，如果你邀請新用戶，也可獲得更多查詢次數。

　　當然，如果你想無限次開盒，也可以購買月包乃至年包，一般一個月是63U，這里面不乏有把開盒權限二次轉租或代查詢的“盒佬”，所以你根本沒法統計到底有多少人具備開盒能力。

　　而且，現在這種群組已經有了自動回復機器人，只要你按格式輸入命令，根本不用客服人員，就可以隨意查詢，365天24小時全年無休。

　　所以，開盒這件事，根本沒有我們想的那么復雜，可能只需要幾十塊錢到幾百塊錢就搞定了。

　　三

　　除了精確查詢，現在的社工庫還有模糊查詢技術，圈內叫“獵魔”，畢竟，很多時候你得知的對方信息并不多，如何精準找出對方的真實信息呢？獵魔技術就是在龐大的弱關聯信息里，不斷探索，尋求強關聯。

　　比如，你被一個叫張三的人給騙了，除了知道他的名字，其他一切都不知道，那么獵魔技術也可以精確幫你找到對方，方法也很簡單，把所有叫這個名字的都開盒出來，然后根據籍貫、年齡、性別一篩選，就篩選出來了。

　　比如，2024年孫穎莎被開盒事件，就是這樣被篩選出來的。

　　事實上，被開盒的人越紅，“查詢服務商”越開心，因為這是他們“實力”的證明。

　　再往下，就是和“開盒”配套的“網暴”產業鏈，只要你給錢，就能不斷用各種惡臭的方式騷擾你的開盒對象。

　　比如，利用被開盒對象的快遞和外賣地址，寄送壽衣、糞便，或者把照片PS上棺材或者色情圖片進行侮辱等等。

　　甚至，如果給的錢足夠多，還會有人真的跑到被開盒對象家門口，或者敲門，或者潑油漆，或者燒開盒對象的照片進行恐嚇等等。

　　而且，開盒帶來的還不僅僅是精神折磨，還有生活的巨大麻煩。比如，用你的身份證號去做遺體捐獻登記，身份證號拿去做網貸，甚至你的父母、親友都會被人身威脅和騷擾。

　　所以，開盒對普通人而言，絕對是核武器，一旦被開盒，輕則退網，重則陷入抑郁癥。

　　那么，到底是什么人在開盒呢？

　　這次事件暴露了，飯圈，是開盒的重災區。

　　有時候，追星追起來是沒有理智可言的，為了可以和偶像接近一點，有些粉絲會開盒自己的偶像，獲取偶像最新行程、入住酒店、乘坐航班等等，借此制造“偶遇”的機會。

　　當然，也不是所有人都喜歡某個明星，一些黑粉則會利用開盒，來打擊某些明星。比如2023年6月，張馨予、趙露思等多名藝人就被開盒過。

　　這樣一來，明星的粉絲也不樂意了，你能開盒，我也能開盒啊！于是飯圈的糾紛變成了互相使用“盒武器”，以達到網暴對方、“維護”自家偶像的目的。

　　發展到現在，在一些飯圈里面，只要發現網上有人說自家偶像的壞話，就會馬上根據其ID進行“開盒”，然后進行網暴。

　　曾有網友調侃，“去微博找一個流量小鮮肉罵一下，三分鐘你的身份證大頭照全網高清可下載”。

　　除了飯圈，還有“催債公司”“清收公司”以及殖人圈子等等，這些人通過開盒，可以直接拿到他人的個人信息，然后再進行當面的清收和催債，或者進行網暴。

　　總之，只要你有需要，開一個人的盒并不難。

　　這場數據時代的“獵巫運動”，不僅折射出技術異化下的社會病灶，更暴露出數字文明進程中人性尊嚴的危機。

　　四

　　開盒有多可怕？

　　這么說吧，盒武器的可怕之處，并不是其帶來的網絡暴力，而在于，我們對開盒沒有什么特別好的辦法。

　　說實話，相關法規不是沒有。

　　2023年9月，《關于依法懲治網絡暴力違法犯罪的指導意見》發布，規定組織“人肉搜索”，違法收集并向不特定多數人發布公民個人信息，情節嚴重，符合刑法第253條之一規定的，以侵犯公民個人信息罪定罪處罰。情節嚴重的，處三年以下有期徒刑或者拘役；情節特別嚴重的，處三年以上七年以下有期徒刑。

　　“開盒”后在網絡上公然侮辱他人或者捏造事實誹謗他人，情節嚴重的，以侮辱罪、誹謗罪定罪處罰。利用信息網絡辱罵、恐嚇他人，情節惡劣，破壞社會秩序的，還可能涉嫌尋釁滋事罪。

　　《治安管理處罰法》也規定，散布他人隱私的，處5日以下拘留或者500元以下罰款；情節嚴重的，處5日以上10日以下拘留，可并處500元以下罰款。

　　2023年11月17日，中央網信辦在全國范圍內啟動為期1個月的“清朗·網絡戾氣整治”專項行動，打擊“開盒掛人”行為。

　　但問題在于，法規是一回事，執行又是另一回事。

　　按道理來說，被開盒后要報警，但問題在于，報警需要“加害人”吧？可是你又從何得知加害人的信息呢？

　　事實上，有大量被開盒的人，也的確報警了，但因找不到具體的施害者，最后也不了了之。

　　而且，現行法律法規，針對的多是開盒產業鏈的“下游”，對中游和上游，因為其社工庫服務器、運營、支付系統都在境外，法律往往無能為力。

　　而且，就算你能跨境打擊，也根本不可能打擊干凈。

　　只能是有人報警了，就針對個案調查一下，但對整個產業鏈，沒有特別好的整治辦法。

　　而且，就算成功破案的開盒案件，也多以處罰“買開盒”的人為主，而且因為開盒發生在虛擬空間，關于“情節嚴重”很難有準確定義，所以就算被抓，也很難以重罪定罪。

　　我們看到，被開盒的明星、運動員也不止一個了，事后有結果沒有？沒有結果。

　　所以，整治開盒，不能只抓下游，還要從上游抓起。

　　2025年的中國，正站在數字文明的十字路口。

　　過去20多年，中國享受了數字經濟發展的紅利，但由此帶來的整個社會對隱私權的妥協，正在讓所有人都在承受惡果。

　　或許，無論你，無論我，都早已“入庫”了，我們不知道，只是因為沒人查我們而已。

　　當技術能輕易撕開每個人的生活幕布時，我們比任何時候都更需要一場數字保護。

　　希望這次事件，能真正引起國家層面的重視，像打擊電詐一樣打擊開盒產業鏈。

　　這不僅關乎個體安全，更是一場守護全體中國人人性尊嚴的終極戰役。

× 烏有之鄉 WYZXWK.COM

您的打賞將用于網站日常運行與維護。
幫助我們辦好網站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉網刊微信公眾號