涉史上最大数据窃案 阿里巴巴被约谈

因涉及近10亿中国公民的警方数据库遭窃，阿里云(Alibaba Cloud)副总裁陈雪松等阿里巴巴高管，已被上海有关部门约谈。

阿里云是中国最大的公共云服务提供商。6月下旬，上海警方的近10亿人数据，被黑客以约20万美元在网上出售。阿里巴巴随后取消了14个数据库的公众访问权限。这一史上最大数据失窃案，突显北京通过全国监控系统收集数据，以及在保护数据安全方面遇到的挑战。

《华尔街日报》报导，研究人员和公司员工都认定，被窃数据库由阿里巴巴的云平台管理。陈雪松领导云部门的数字公共安全业务。知情人士称，有员工透露，工程师也开始检查相关代码，不过未查明泄露原因。

据报导，两家网络安全公司表示，阿里巴巴云端使用的技术过时多年，而且缺乏基本的安全功能，在该公司托管的其它十几个数据库中也有类似情况。

黑客提供的75万份包含多类敏感信息的记录样本，令专家震惊，包括10亿中国公民（包括未成年人）的姓名、身份证号和电话号码。一些数据看起来源自快递公司，以及向上海警方报案的事件摘要。

阿里云继续要求员工检查与主要客户合同中的数据库架构和配置等细节，尤其是政府和金融机构等拥有专用私有云资源的客户。

去年11月，中国国家行政学院的一份报告称，中国缺乏数字系统管理专业人才以及与技术供应商的协调。

网络安全公司LeakIX和Security Discovery的研究人员告诉《华尔街日报》，阿里巴巴提供的用于存储数据的数据库以及用于访问和管理数据库的访问界面不但过时好几年，而且没有设密码等任何安全功能。

他们说，数据库虽被保存在一个安全的私人服务器上，但其访问界面被设置在网际网络上，这样里面的信息能无限制地被传出。该数据库还缺乏被视为业界标准做法的安全证书，阿里最后一次部署新安全证书是在2017年9月，一年过期之后再没更新。