「开盒」是什么？我们如何有效预防个人信息被「开盒」？

大多数人都觉得，人肉搜索其实就是社工库查一下，但其实目前在Telegram被广泛使用的免费社工库中，数据信息都普遍来自2020年以前，除了2022年4月份所泄露的45亿快递信息。

其实能在社工库中找到的信息包括手机号、QQ或者微博，分别来自2020年wb泄露的5.3亿数据以及2020年企鹅泄露的8亿数据。这些数据在被曝光之后，大多数人选择注销wb，修改企鹅号绑定信息。

这说明确实达到了人人都会社工了，毕竟在百度一搜，搜出来一大片都是公网社工库。

但是真正所谓的人肉搜索，主要都是来自于某公共站点的漏洞，包括csrf+任意注册漏洞

早在前几年，在社工表面圈子的第一个漏洞，任意注册漏洞，即利用他人的身份证号码以及自己的手机号去注册此类网站，在个人信息页面中可以看到该身份证名下所有证件，包括但不限于出生证，huji页面等等信息

后面这个方法一传十，十传百。把社工圈子内的从业者都打造成漏洞猎人，简单的抓包、任意注册，水平越权等等，但是这群人，确实没有任何网安的知识经验，他们靠的是经验以及尝试。

于是乎，部分个人信息查询业务价格就会降低，但是这些所谓接口一旦泄露，访问的人飞升，肯定会被流量检测到，然后进行修补。

国家也慢慢针对这类情况做出反击，从添加有效期验证到人脸识别，但是对于这群“猎人”而言，这些防御都是可以绕过的。

针对人脸生物验证，在GitHub上有个名为First-Order-Wrapper的项目，该项目可根据照片模拟做出模拟人脸轨迹的运动，包括眨眼、转头等等运动。单有这个可能不行，还需要配合上 android_virtual_cam安卓手机虚拟摄像头，那基本上就是一台手机实现各种人脸认证的破解。除了一些很高规格的人脸验证，其实大多数人脸验证，包括某些手机品牌，只要大概达到百分几就可以通过。那么假设屏保是自己的照片，捡到手机的人，确实可能通过社会工程学技术直接破解你的手机，完成一次窃取。

所以，其实去人肉一个人，在专业的人看来，真不难，只要这个领域还有油水可以捞，就一直有人入圈去做，去渗透这些网站。

*更新一下。

有说这玩意是二道贩子为了省钱，也有的质疑真实性。

真实性问题，我记得针对某公共站点的破解思路还在百度贴吧某个吧可以找到原帖，最原始的思路，其次就是说省钱的，不得不承认，内鬼确实是一大主力，但巨敏感。换句话来说这套玩法在两三年前非常猖獗。

但现在严打下，连京东万象这类卖实名接口等平台都关掉了，反而能够较为安全发展的黑产猖獗起来。一些QQ群每天挖掘出来的脚本10、20+都有。

且这些违法的请求是包装成为合法请求来的，除了公众站点，针对某音，某手的，网传利用的是爬虫实现的，但是具体怎么实现就不得而知。

另外，地下流通的社工库仍然特别多，比如各种快递，电商，个人户籍等在不再公开出来，且这些社工库只对少部分会员公开。

*回归到这次泄露，传闻是wxid泄露了相关信息，其实我觉得可靠性不大，wx泄露的是原始id加手机号，简单来说就是在你设置自己微信号前那串wxid_xxxxx，又臭又长那一段，而这玩意连三岁小孩都会去修改设置，除非是公共账号外，我觉得这东西都不可能泄露。如果是公共账号，那么绑定的手机号大概率也是公司的，或者非直系运营人员。

而我觉得被身边人传的概率大，这玩意不稀奇，毕竟工作时除了工资保密，啥玩意能保密。非该圈子内人员，说错了谅解～评论区纠正我。

完整版欢迎跳转～