百度公開(kāi)“開(kāi)盒”事件調(diào)查結(jié)果

3月20日，為解答“開(kāi)盒”風(fēng)波后外界產(chǎn)生的信息安全疑慮，百度召開(kāi)安全溝通會(huì)釋疑并復(fù)盤了該新聞事件的全過(guò)程。

據(jù)悉，百度方面自3月17日凌晨接到外部舉報(bào)后，便成立技術(shù)調(diào)查組展開(kāi)內(nèi)一排查，確認(rèn)當(dāng)事人沒(méi)有百度用戶個(gè)人身份信息的數(shù)據(jù)權(quán)限，也未訪問(wèn)過(guò)任何百度數(shù)據(jù)庫(kù)與服務(wù)器。經(jīng)核實(shí)，確認(rèn)開(kāi)盒信息并非從百度泄露。

“任何職級(jí)員工都無(wú)權(quán)限觸碰用戶數(shù)據(jù)，即使是我也沒(méi)有相關(guān)權(quán)限”，溝通會(huì)上，身穿印有“很安全”字樣部門工服的百度安全負(fù)責(zé)人陳洋表示。

在排除內(nèi)部數(shù)據(jù)泄露可能后，百度快速定位“開(kāi)盒”相關(guān)數(shù)據(jù)源頭是海外灰產(chǎn)組織“社工庫(kù)”。經(jīng)輿論發(fā)酵，該組織目前已停止運(yùn)作。

百度將用戶安全放在首位

移動(dòng)互聯(lián)網(wǎng)時(shí)代，用戶使用互聯(lián)網(wǎng)公司開(kāi)發(fā)的應(yīng)用普遍需要開(kāi)放權(quán)限。本次風(fēng)波中，社會(huì)情緒的關(guān)注點(diǎn)也在于互聯(lián)網(wǎng)公司的員工能否調(diào)取查看個(gè)人隱私信息。

針對(duì)這個(gè)疑問(wèn)，陳洋介紹了百度內(nèi)部有可能訪問(wèn)數(shù)據(jù)的三個(gè)方式，分別是數(shù)據(jù)系統(tǒng)、服務(wù)器以及辦公系統(tǒng)。任何系統(tǒng)的登錄均需要有相應(yīng)權(quán)限，且訪問(wèn)與信息調(diào)取均會(huì)留下訪問(wèn)日志，因此百度得以快速排除當(dāng)事人的嫌疑。

針對(duì)網(wǎng)友對(duì)個(gè)人數(shù)據(jù)安全的疑問(wèn)，陳洋進(jìn)一步表示，所有在百度相關(guān)產(chǎn)品注冊(cè)的用戶自個(gè)人信息注冊(cè)階段，其原始數(shù)據(jù)便會(huì)進(jìn)行實(shí)時(shí)的假名化處理，而原始數(shù)據(jù)則單獨(dú)加密隔離并設(shè)置多重“密鑰”保護(hù)。“密鑰”分別由不同部門的不同個(gè)人保管，確保即使有人擁有訪問(wèn)數(shù)據(jù)的權(quán)限，在權(quán)限分離與統(tǒng)一管控的情況下，也無(wú)法調(diào)取任何一個(gè)用戶的個(gè)人數(shù)據(jù)。

這個(gè)持續(xù)迭代的信息安全系統(tǒng)是用戶個(gè)人數(shù)據(jù)的第一道防線，在此基礎(chǔ)上，百度還由設(shè)置了安全部門、內(nèi)審部、稽核部、職業(yè)道德建設(shè)部等部門多方風(fēng)控，以及定期開(kāi)展安全培訓(xùn)和攻防演練。百度方面強(qiáng)調(diào)，自百度成立的20多年以來(lái)，其未曾出現(xiàn)過(guò)任何數(shù)據(jù)泄露及信息安全問(wèn)題。

為查漏補(bǔ)缺，百度早在2014年便向社會(huì)發(fā)起“漏洞獎(jiǎng)勵(lì)計(jì)劃”，邀請(qǐng)各界安全專家及用戶提交信息系統(tǒng)可能存在的漏洞。

此外，百度亦積極參加海內(nèi)外的互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)建設(shè)，聯(lián)合行業(yè)共同創(chuàng)建了80余項(xiàng)安全標(biāo)準(zhǔn)，通過(guò)了104項(xiàng)國(guó)家級(jí)安全認(rèn)證。據(jù)悉，百度是在《數(shù)據(jù)安全法》出臺(tái)后，首批通過(guò)數(shù)據(jù)安全管理人DSM的企業(yè)，以及國(guó)內(nèi)首家數(shù)據(jù)安全承受過(guò)四級(jí)認(rèn)證的企業(yè)。

“我們部門工服上的‘很安全’不是為今天準(zhǔn)備的，每個(gè)人入職的時(shí)候都會(huì)收到這件工服，因?yàn)槲覀儼延脩舭踩肋h(yuǎn)放在首位”，陳洋表示。

溝通會(huì)上，百度展示了經(jīng)三方公證的“（2025）京精誠(chéng)內(nèi)經(jīng)證字第 1642號(hào)”公證書，證實(shí)事件與百度無(wú)關(guān)。

個(gè)人信息安全保護(hù)刻不容緩

繼核實(shí)“開(kāi)盒”事件始末后，百度逐一解答了媒體關(guān)于用戶個(gè)人隱私的種種疑問(wèn)。

陳洋表示，個(gè)人隱私信息通常有三種泄露途徑：一是黑客入侵網(wǎng)站漏洞后進(jìn)行抓??；二是黑灰產(chǎn)人士利用爬蟲爬??；三是通過(guò)數(shù)據(jù)交易被獲取。前兩種是較為常見(jiàn)的方式，黑客攻擊有漏洞的網(wǎng)站后，直接將網(wǎng)站的全量數(shù)據(jù)庫(kù)下載下來(lái)，以碰撞的方式將未加密或弱加密的密碼明文解密，而后便可以憑賬號(hào)與密碼“撞庫(kù)”獲取其他網(wǎng)站或應(yīng)用的賬號(hào)。

由于互聯(lián)網(wǎng)企業(yè)的信息安全技術(shù)愈發(fā)成熟，灰產(chǎn)組織寄希望于前兩種途徑獲取個(gè)人信息變得越發(fā)困難。因此，目前灰產(chǎn)市場(chǎng)上流轉(zhuǎn)的個(gè)人信息有相當(dāng)一部分源自多年前。

自當(dāng)下用戶數(shù)據(jù)的全生命周期來(lái)看，最有可能導(dǎo)致信息泄露的薄弱環(huán)節(jié)是數(shù)據(jù)采集環(huán)節(jié)，即使用安裝使用App、IoT設(shè)備時(shí)開(kāi)放的通訊錄、相冊(cè)等權(quán)限。百度方面呼吁，用戶應(yīng)警惕未在正規(guī)應(yīng)用市場(chǎng)上架的任何應(yīng)用。

此外，針對(duì)“開(kāi)盒事件”發(fā)生后在網(wǎng)上流傳的“當(dāng)事人承認(rèn)家長(zhǎng)給她數(shù)據(jù)庫(kù)”截圖，百度核實(shí)后發(fā)現(xiàn)，該截圖的信息內(nèi)容不實(shí)，其原意為博主收到家人紅包后，在平臺(tái)曬出微信紅包截圖，博主回復(fù)“我家長(zhǎng)給的”，本意是想說(shuō)明紅包的來(lái)源，與“開(kāi)盒”無(wú)關(guān)。據(jù)核實(shí)，事件發(fā)生后的大量傳播信息均為不實(shí)。

數(shù)據(jù)時(shí)代高速發(fā)展，個(gè)人信息安全亦常溫常新。百度方面表示，在相關(guān)政府部門的指導(dǎo)下，愿意積極響應(yīng)和倡議推進(jìn)“反開(kāi)盒”聯(lián)盟的成立，共同加強(qiáng)數(shù)據(jù)隱私防護(hù)，嚴(yán)厲打擊非法數(shù)據(jù)竊取及泄露行為。