中国10亿人个资网络外泄

发表:2022年07月14日
本报综合报导

近日传出上海公安系统涉及中国10亿公民个人资料外泄,包括姓名、地址、手机号码、身份证号等。相关消息未见官方“辟谣”。值得注意的是,网络安全专家发现,用于管理和访问该数据库的“控制面板”(dashboard)出现一个常见漏洞,使该数据库过去1年多来一直曝露在风险中,导致这场有记录以来最大规模个资数据外泄。

Telegram频道7月2日爆出上海公安系统数据库遭骇消息。据指,骇客入侵上海公安系统后取得庞大资料,高达23.88TB,内容涉及10亿居民资讯及几十亿条警情资料。

2020年10月28日,上海一名戴口罩的警察在监视街道上的行人。(HECTOR RETAMAL/AFP via Getty Images)
2020年10月28日,上海一名戴口罩的警察在监视街道上的行人。(HECTOR RETAMAL/AFP via Getty Images)

外泄资料包括居民姓名、性别、年龄、出生地地址、身份证照片、手机号码,涉及中国多省市居民。而几十亿条警情资料包括报案时间、报案人电话、报案人描述的具体事件内容等。

文章指出,这应该是1949年中共建政以来遭泄露资料之最,估计应该是上海公安系统云服务的使用存在极大疏漏,才让骇客有机可趁。由于遭泄漏的信息非常庞大,可能会“带来永久性且无法弥补的后患”。

不过,有人稍早也曾在大陆知乎网站发文称,2022年6月30日,有位ID叫“ChinaDan”的网友在网络安全圈内某论坛发布消息称,上海某机构(SHGA.gov.cn)数据库遭到泄露。但这篇文章在知乎遭到网管移除。

事实上,大陆媒体《经济参考报》去年曾报导,由于手机应用程序滥用身份绑定、过度索取权限,导致上亿中国民众的个资在社交平台及暗网上遭到兜售贱卖,每年交易金额高达上亿人民币。

报导还举例称,中国高中93万名学生的个资只要30美元,1500位民众的身份证正反照及手持身分证半身照只要20美元,任何人都能轻易买到他人的资料。

相对的,若是博奕类活动会员的资料,价格就会比较高,背后原因可想而知。另外,暗网中的个资有6成来自金融业,该产业已成骇客最喜爱的目标。

个资网络曝露超1年

《华尔街日报》引述网络安全专家分析,上海警方数据库包括个人姓名、地址、手机号码、身份证号,以及几十亿条警情,涉及近10亿中国公民。西方一公司发现,有关这个数据库的管理和访问功能的一个“控制面板”,自2021年起便开始一直保持打开状态,任何有相对基本技术知识的人都可以轻松访问、复制或窃取库中的海量资讯。

据报导,资安公司“Security Discovery”的老板狄亚申科(Bob Diachenko)表示,从2021年4月到今年6月中旬,该数据库在这一年多时间里一直曝露在网络上。而该数据库在上月中旬突然被清空,放上一张勒索通知,意指要支付赎金为10枚比特币(约20万美元),骇客才会归还这些数据。

暗网情报公司“Shadowbyte”创办人托伊亚(Vinny Troia)也惊叹,“他们把这么多数据曝露在外,这太疯狂了”。

据报导,“Shadowbyte”这家公司专门扫描搜寻存在安全漏洞的网络数据库,早在今年1月扫描时,就发现了这个上海警方的数据库。

“SecurityDiscovery”也在今年稍早进行定期网络扫描时,发现了这个数据库,后来又在扫描时发现了那张勒索通知。

根据报导,一位匿名用户近期在某网络犯罪论坛以同样价格,出售一个数据库的访问权,并称这个数据库包含从一个上海公安数据库中盗取的数十亿条中国公民资讯记录。这篇帖子上周末开始在社群媒体上迅速传开。上海市政府和中国国家互联网资讯办公室未回应报导置评的请求。

美国之音报导,荷兰莱登大学现代中国研究助理教授、史丹佛大学网络政策中心“数位中国”(DigiChina)项目共同创办人克里默斯(Rogier Creemers)表示,这次骇客事件让北京当局“非常难堪”,“中国政府数位野心带来了风险,这起事件削弱民众对中国政府控管这种风险能力的信任和信心。”

美国乔治梅森大学客座教授、网络安全专家黄基祯认为,此次上海警方数据泄露事件代表的是对“中国政府数据化发展”的一种打击,当局严格要求数据在当地储存,“现在(个人)资料外泄,变成人民对政府越来越不信任”。

美国之音还报导分析,中国公民资讯外泄事件让北京“数据治国”政策颜面无光。近年来,北京通过了一系列法律规范,限制敏感数据包括个资在内的商业收集,并要求数据必须在中国国内储存。同时,中国政府继续通过全国性数位监控设备,收集公民大量数据,以更严格掌控社会。

《纽约时报》指出,骇客兜售提供上海警方数据库的外泄资讯,凸显中国监控收集公民资讯后,在保护这些数据的安全性方面能力不足,且在中国当前法律规定下,无从究责。

目前官方对上海公安信息泄露事件的消息严防死守。在微博上,有关“上海公安数据”或“上海公安数据泄露”的关键词搜索,都没有任何相关的结果。