百度：排除副总裁谢广军泄露嫌疑，“开盒”数据来源实为境外网站

转自：宁波晚报

3月20日，百度召开媒体沟通会，正面解答“开盒事件”。据百度安全负责人陈洋介绍称，17日公司第一时间通过内部技术调查，即排除了事件中个人信息由百度公司副总裁谢广军的泄露嫌疑。目前，团队已定位到了事件中的数据主要来自境外网站“Telegram”，复现并公证了相关路径。

“20多年来，百度从来没有发生过数据泄露的事件”，陈洋说，各大互联网公司均会通过数据假名化处理和权限分离“两把钥匙”，同时还有一系列举措，来保障用户信息安全。他也表示，与黑灰产的较量一直在持续，倡议在相关政府主管部门的指导下，联动行业成立“反开盒”联盟。

内部第一时间启动调查

据陈洋介绍，3月17日，百度接到举报，当天，就成立了技术调查组对谢广军的系统权限和数据访问日志开展调查。

18日，陈洋公布调查结果，排除了谢广军的泄露嫌疑，“昨天接到一些举报之后，我们也在内部成立调查组进行了严格的调查。从结果上看，确实不是谢广军干的，也不是从百度泄露的”。

陈洋表示，内部先后调取了数据管理平台审计中心、服务器审计系统、办公系统日志等数据，从调查结果看，确认谢广军完全没有相关数据库的任何权限，从操作行为日志看，也没有做这样的事情的尝试。

个人信息来源主要为海外社工库

那么，事件中的数据到底是从哪儿来的？据陈洋介绍，通过多方消息证实，“开盒”信息来源为海外黑产社工库，事件中的数据主要来自境外网站“Telegram”。

陈洋现场展示了Telegram的页面。北青报记者发现，只要发送一些信息如手机号码、微博ID、OTA账号等信息到相关群内，就可以立刻免费收到包含姓名、身份证号码、归属地、QQ号码、微信绑定等个人信息。如果付费的话，还可以进一步获取到常用地址、婚姻历史、汽车档案、全家户籍等更多方面的个人隐私信息。

在Telegram上，以“开盒”为主题的群组数不数胜，打开一个名为“免费社工库|开户|开房|开盒…”的群组，几乎每隔几秒都有人向群内发送需求，或是收到被“开盒”的信息，信息密集程度令人震惊。在这里，只要“签到”就可以免费“开盒”2次，而这些被开盒的信息，群内所有的7万余名成员都可以公开看到。

根据当事人也就是谢广军女儿曾发布的微博截图，可以看到其发布的“开盒”信息与Telegram上的界面一致，上方还带有Telegram的标志。

为了证实数据的来源，百度方面表示，已经进行复现取证，并得到公证机关公证。

在事件发生后，不少网友也揭露了多个相关社工库的情况。最新进展是，3月20日，天网社工库暂停服务。

百度20多年从没有发生过数据泄露事件

如果不是谢广军，百度的其他人有可能泄露信息吗？

据陈洋介绍，“百度通过假名化、权限分离、统一管控等机制实现无死角数据安全风险防护”。

首先，百度在系统中，都是用“假名”进行处理的，用户在注册之初，系统就会给它生成相应的ID，“数据是用假名去做流转，并非以真实身份”。

他介绍，所有用户的敏感信息会进行加密存储，这样就可以保证业务系统触碰不到用户的信息。即使拿到了用户的信息，也是一串字符，因为加密的系统和密钥的管理在另外的地方。此外，业务系统还会再对它的数据做另外的加密。

“也就是说我们有两把钥匙，第一把是管理用户敏感信息的钥匙，第二把钥匙是业务数据加密的钥匙。这两把钥匙是在不同的部门中由不同的人去掌管的，从而形成了这样的权限分离”，陈洋说。

此外，百度还通过三重防线进行安全管理，一是业务部门，不断在公司内通过攻防演练进行预防；二是安全部门，通过制度、能力和风险专项，进行预防和安全检查；三是内审部和职业道德建设部，定期对异常访问等敏感行为，进行稽核及内部审计。

“20多年来，百度从来没有发生过数据泄露的事件”，陈洋说，这就是因为有这样长期运营的机制来保障的。

通过此次事件，暴露了类似黑灰产门槛之低。然而拒绝“盒武器”，并非百度一己之力就可以做到的。为此，百度倡议，在相关政府主管部门的指导下，与行业其他公司共同成立“反开盒”联盟。“希望大家携手共同努力，帮助那些被开盒的网民、那些受害人去提供相应的技术支持，以此减少他们的损失，降低他们的痛苦”。

普通用户如何保护自己的隐私？

事件发生后，不少网友也表示，自己也曾被“开盒”或是泄露个人隐私的事件所困扰，自己的所有信息被“一言不合”的网友随意发到互联网上任人网暴，给真实生活带来了诸多负面影响。

对此，陈洋也建议，首先，谨慎分享个人信息：在社交媒体和其他网络平台上，避免泄露真实身份信息。用户要妥善设置权限，合理设置社交平台的隐私选项。例如，将朋友圈设置为仅好友可见，限制陌生人查看自己的微博内容等。在安装应用程序时，仔细查看并谨慎授予应用所需的权限，避免授予不必要的权限，如位置信息、通讯录、摄像头、麦克风等权限。

其次，陈洋建议最好多样化网名与密码策略：在不同平台尽量使用不同的账户名和密码，在游戏中或其他网络社区中，保持匿名或使用昵称，减少被搜索到的可能性。用户可以使用密码管理工具，避免使用简单容易猜到的密码，如姓名缩写、生日、电话号码等。可以采用密码管理工具管理密码。

最重要的是，提高警惕意识，不轻易相信陌生人的请求和信息，对于一些不明来源的调查、问卷、抽奖等活动要保持警惕，避免因贪图小便宜而泄露个人信息。同时，要关注个人信息保护的相关法律法规和安全知识，不断提高自身的隐私保护意识和能力。

海量资讯、精准解读，尽在新浪财经APP