如何尽可能防范无孔不入的人肉开盒？

防不胜防的“人肉开盒”

• 在中国大陆，人肉搜索与开盒早在零几年便已蔚然成风。

“铜须门”、“高跟鞋虐猫事件”、“恶俗维基”等。

需要明确的一点是，人肉开盒并非“源自饭圈文化”。

• 社工库查档黑灰产主要以telegram为阵地，提供多种“业务”。

传统业务：个人、全家户籍，身份证照片，社交媒体账号等反查身份证号，开房记录等。

新兴业务：追踪定位，猎魔补齐（模糊查询），常住地址（快递、外卖收货地址），医疗记录（婚前查人流史与性病），人脸识别，司法程序，好友提取等。

• 触网即裸奔：个人信息的泄露与入库，是不可避免、且无法挽回的。

手机号实名制与互联网后台实名制。

学习通、腾讯、网易163邮箱等国民级平台的脱库（数据泄露）。

移动运营商、公安系统内鬼查档。

正视开盒之风

• 莫报侥幸心理。开盒者不需要理由。开盒你，与你有何相干？

• 但是不要迷信与神化开盒。开盒者不过狐假虎威之徒，无知与恐惧只会助长其气焰。

• 如果因恐惧被人肉开盒，而在网络上噤声失语、囿于自我审查、畏于表达自己的观点，这既是因噎废食，更将本应享有的开放自由的讨论环境拱手让人。

信息泄露对普通人的威胁

• “普通人”：假设其不科学上网，主要使用国内平台，无身份隐匿需求，并非显要人物，未从事特殊或争议职业，未与他人或组织发生重大矛盾，未被卷入网络热门事件、成为其主要或相关人士。

• 免费社工库：多为过时信息，可能误开出亲戚朋友，但身份证等无法变更的信息通常准确无误。

若无特殊情况，开盒者通常没必要付费开某个不相关普通人的盒。

• 撞库：若多个平台账号使用同一密码，可能会被通过撞库试出密码、盗用账号。

• 骚扰短信、电话等：来自泄露的手机号。

• 电信诈骗风险：骗子对受害者的底细更熟悉，更容易骗取信任。

从个人信息开始的开盒防护

• 开盒常用个人信息的敏感程度：身份证号>姓名（特殊小众姓名）>手机号>QQ号、微信号>其他社交平台账号id、通用的网名>姓名（张伟等大众姓名）>邮箱（QQ数字邮箱除外）

• 其中，使用时间越久的手机号、QQ号等，越容易被开出准确信息。

这是因为，首先免费社工库内一般为过去信息泄露中的过时信息；随后，网民最初触网时一般缺乏隐私保护意识，更容易无意中泄露个人信息。

• 通用处理方式：销号并重新注册，彻底更换联系方式。

身份证号无法更改，姓名更名流程繁琐，下文将不再讨论。

• 警惕“水桶效应”，结合自身情况，分析自己的隐私安全短板：名字很小众？QQ号太多好友不方便更换？工作需要必须公布手机号？……

手机号-人肉开盒的重要切入点

• 非绝对必要，不公布手机号，不向他人或平台提供手机号。

• 注册专门用于网络活动（如注册账号、网购点外卖等）与工作的手机号。

可选择容易注册到运营商回收号的渠道（例如校园卡、大流量卡）。这样的回收号即使被开盒，也更容易开到原号主。

• 也可以借用家中非直系亲属闲置号码，或使用其身份注册手机号。

• 有能力可注册国外不记名手机号，或Google Voice虚拟号，专用于注册与绑定国内账号。

注意其月租话费高昂，且绑定国内账号（如微信与小红书）时可能有诸多限制。

需准备科学上网手段、稳定的国际支付手段、以及一部iPhone X或更高版本的外版苹果水货机（需拥有esim功能，因此不能是“改了双卡”的手机）。

有条件者建议专号专机使用。

• 切勿用+86手机号注册任何海外平台。

社交平台的信息隔离

• 检查应用设置，关闭所有类似以下的隐私设置：

“通过手机号找到我”、“把我推荐给通讯录的朋友”

“允许陌生人查看空间/朋友圈/个人主页”

“允许任何人查看关注列表/粉丝列表/访客……”

• 设置复杂且不重复的密码。如平台有提供相关选项，可额外设置两步验证。

可以使用密码管理器辅助记录密码。

• 不同社交平台的账号，其昵称（或id）命名原则上不应相同或具有关联性，发布的内容也不应相同或相似，否则有被连锁爆破的风险。

• 如需运营有辨识度的网络身份（内容创作者、自媒体从业者等），需保证网络公开身份与个人身份的完全分离。

命名无关联，不在相近时段发布内容，不发布相似内容，不相互关注或艾特……

• 非绝对私密的平台（设置“仅好友可查看”的QQ空间或微信朋友圈），不发布包含隐私信息或新近拍摄的照片。

如需发布可隔数日再发布，或对照片中文字内容与非拍摄主体内容打码。

注意清除照片包含的EXIF信息。

• 警惕来路不明的关注与好友请求。

莫名被人关注，可能是开盒者已经锁定目标，或正在通过你的关注列表摸排你的好友。

• 提供信息最小原则：能不拍人脸或身份证便不拍，能不实名便不实名，能不用手机号注册便不用。个人简介能不挂真实信息（哪怕是生日、星座）便不挂。

一个未经证实的反制方法：如果家族中有党政机关、公检法或军警相关人士，可借用其身份过实名。开到这类人士对于开盒者而言如同开到地雷。

如果这位有能量的人士就是你的直系亲属，那你自己就是地雷。

重拾“过气”的邮箱

• 不建议使用QQ自带的QQ号数字邮箱。

• 邮箱名不建议包含个人姓名缩写或拼音，其他平台常用的id，或少见的英语单词。

• 建议注册非实名海外邮箱，因为国内邮箱同样需要提供手机号注册。

如无科学上网手段，考虑到收信方便，可注册微软邮箱。

• 部分场景（如注册无关紧要、即用即弃的账号）可考虑使用一次性邮箱。

• 虽然域名邮箱有着极高的自由度，可将个人信息完全掌握在自己手里，但注意“域名”本身也包含着个人特征。

“自我开盒”，查缺补漏

请注意“查询”操作本身也有隐私泄露，甚至自我暴露风险。

• 查询手机号曾注册过的所有平台。（见《注销手机号时的注意事项》）

• 主动在telegram上寻找社工库机器人，尝试查询自己的信息。

无海外手机号者不建议尝试。telegram需手机号注册，默认公开手机号，且+86手机号有私信限制。

更危险的是，一旦使用+86手机号接码注册，也将引起有关部门的注意。

无确凿证据，但通常用上社工库第一步是自搜，理论上黑灰产可以据此确认该telegram账号的真实身份。缺德的方法是随便开几个知道真名的朋友，同时把自己的信息夹杂其中，一并发给机器人。