一个庞大的在线数据库,包含了多达10亿中国公民的个人信息,在一年多时间里竟然没有系统安全保护,可以被公开访问,直到上周一个黑客论坛的匿名用户提出要出售这个数据库里的信息,从而引起极大的关注。
一个庞大的在线数据库,包含了多达10亿中国公民的个人信息,在一年多时间里竟然没有系统安全保护,可以被公开访问,直到上周一个黑客论坛的匿名用户提出要出售这个数据库里的信息,从而引起极大的关注。
美国有线电视网CNN报导,网络安全专家说,这次私人信息泄漏可能是有史以来最大的泄密之一,它凸显了在网上收集和存储大量敏感个人信息数据的风险,尤其是在一个当局可以任意广泛及不受检查和限制地获取这些数据的国家。
发现大量中国个人数据的网站LeakIX称,至少从2021年4月开始,这个含有大量中国人个人信息的数据库就可以通过一个看似不安全的后门链接公开访问,这是一个快捷的网址,可以让任何知道它的人无限制地访问。
一个匿名用户上周四在一个黑客论坛上发布广告,愿意将超过23TB的数据以10比特币(约合20万美元)的价格出售,此后对该数据库的访问被关闭,此前无需密码即可访问。
该匿名用户声称,该数据库是由上海公安系统收集和管理的,包含了10亿中国人的敏感信息,包括他们的姓名、地址、手机号码、身份证号码、年龄和出生地,以及数十亿次向警方报告民事纠纷和犯罪的电话记录。
出售数据库的帖子中包含了该数据库三个主要索引结果的75万条数据样本。
卖家还声称,这个不安全的数据库是由中国电子商务巨头阿里巴巴旗下的阿里云端服务托管的。
有问题的是数据所有者而不是数据库托管公司的错
CNN采访的专家表示,有问题的是数据的所有者,而不是数据库托管公司的错。
微软驻澳大利亚区域总监特洛伊·亨特(Troy Hunt)对CNN说:“就目前的情况来看,我相信这将是迄今为止最大的公共信息泄露事件。当然,数据库覆盖了中国的大部分人口,泄密的影响也就比较广范。”
中国有14亿人口,这意味着数据泄露可能会影响多达70%以上的人口。“这有点像妖怪无法回到瓶子里的情况一样。”亨特说,“一旦数据以现在的这种形式出现在网络上,就无法再缩回去了。”
数据库在2021年4月开放任何人都可以下载
目前还不清楚在数据库被公开放在网上的长达14个月里,有多少人曾经访问过它,或下载过该数据库。两位接受CNN采访的西方网络安全专家表示,在上周该数据库被推到公众之前,他们都知道该数据库的存在和其公开性,并表示只要知道去哪里找,就可以轻易发现它的存在。
网络安全研究员、暗网情报公司Shadowbyte的创始人文尼特罗亚(Vinny Troia)对CNN说,他第一次发现这个数据库是在“一月份左右”,当时他正在网上搜索开放的数据库。
“我发现数据库的网站是公开的,任何人(都可以)访问它,你所要做的就是注册一个账户。”特罗亚说。
“由于它是在2021年4月开放的,任何人都可以下载这些数据。”他补充说。
特罗亚说,他下载了该数据库的一个主要索引数据结果,其中包含近9.7亿中国公民的信息。他说,但很难判断公开的访问权限是数据库管理的疏忽,还是有意为之,旨在让少数人可以访问。
“要么他们忘记了,要么他们故意让它公开,因为这对他们来说更容易获取数据。”特罗亚指的是负责该数据库的当局,“我不知道他们为什么会这样,这看起来非常不小心。”
数据库遭泄露或导致有人被敲诈勒索
据路透社报导,2019年,荷兰网络安全研究员维克多·格维尔斯(Victor Gevers)发现了一个在线数据库,其中包含中国远郊新疆地区250多万人的姓名、国民身份证号码、出生日期和位置数据,而中国公司SenseNets Technology在数月内没有对其设置安全防护。
但网络安全研究人员说,最新的上海数据库泄漏事件特别令人担忧,不仅因为其空前的数据量,而且还因为其所含信息的高敏感度。
CNN对数据库样本的分析发现,警方记录的案件从2001年到2019年,时间跨度近20年。虽然大多数案件记录是民事纠纷,但也包含从欺诈到强奸的刑事案件记录。
在一个案件中,一名上海居民于2018年被警方传唤,原因是他使用虚拟专用网络(VPN)逃避中共防火墙并访问推特,据称转发了“涉及(共产)党、政治和领导人的反动言论”。
“这些记录当中可能包括家庭暴力、虐待儿童和各种事情,对我来说,这更令人担忧。”微软区域主管亨特说。
“这可能会导致(记录相关人员被)敲诈勒索吗?我们经常看到数据泄露后对个人的勒索,黑客甚至可能尝试要求个人缴纳赎金。”
中共《个人信息保护法》无法规范中共专政
去年,北京通过了第一部《个人信息保护法》,对如何收集、使用和储存个人数据信息制定了基本规则。但专家们担心,虽然该法可以规范技术公司,但当法规面对中共专政时,执行起来可能很困难。
乌克兰的安全研究员鲍勃·迪亚琴科(Bob Diachenko)于4月首次接触到该数据库。迪亚琴科说,6月中旬,他的公司检测到该数据库被一个无名的恶意黑客攻击,该黑客复制并破坏了数据库,并留下一张赎金帖子,要求用10比特币来修复数据库。
目前还不清楚和上周传出要出售数据库数据信息的人是不是同一个人。
据迪亚琴科说,到7月1日,赎金字条已经消失,但只有7千兆字节(7GB)的数据可用,而不是最初宣传的23太字节(23TB)。
迪亚琴科说,这表明赎金问题可能已经解决,但数据库所有者继续使用暴露的数据库进行存储,直到上周末被关闭。
上海警方没有回应美国有线电视新闻网对赎金字条的评论请求。
