图为中国互联网巨头阿里巴巴位于浙江杭州的总部。
《华尔街日报》周四(7月14日)独家报道,知情人士透露,阿里巴巴集团控股有限公司旗下云部门高管已被上海当局传唤,就警方数据库大规模被盗一事进行约谈。
6月下旬,媒体爆出上海公安局数据库大规模泄露的消息,涉及10亿中国公民个人信息,包括个人姓名、住址、身份证号码、电话号码以及警情信息,被黑客在网上以约20万美元的价格出售。此事被视为有记录以来规模最大的个人数据被窃案之一。
网络安全研究人员表示,在没有密码的情况下,这批数据在公共互联网上开放超过一年,使其内容很容易被窃取和删除。
根据对数据库的扫描,研究人员得出的结论是这批数据托管在阿里巴巴的云平台上,该公司员工也证实了这种关系。
据知情人士透露,阿里巴巴及其云部门的高级管理人员于7月1日以在线形式聚集在一起制定应急响应方案,此前一名匿名卖家发布了数据广告并在网络犯罪论坛上提供了数据样本。
知情人士透露,被要求与上海当局会面的高管包括阿里云副总裁陈雪松,他最近被聘为领导阿里巴巴公司该部门的数字公共安全业务。
《华日》记者无法联系到陈雪松置评,阿里巴巴和上海市政府也没有立即回应《华日》置评请求。
一些熟悉此事的员工表示,自数据被窃被发现以来,阿里巴巴的工程师已经暂时被禁止获得被入侵数据库的访问权限,并开始检查相关代码。他们说,入侵原因尚未确定。
两家网络安全公司告诉《华尔街日报》,根据对数据库元数据的分析,被盗数据是使用已过时几年且缺乏基本安全功能的技术存储在阿里云上的。
阿里巴巴没有回应《华日》针对两家公司的发现置评的请求。
虽然在全球范围内,数据库不安全很常见,但网络安全研究人员表示,对如此庞大的此类敏感信息的收集量感到震惊。此次数据泄露凸显中共当局通过全国数字监控系统收集的大量数据,以及政府在保护这些数据安全方面面临的困境。
据知情人士向《华日》透露,随着调查的继续,阿里云要求员工审查与关键客户合同中的数据库架构和配置等细节,特别是那些拥有专用私有云资源的政府机构和金融机构客户。
时政评论员李林一认为,要求收集民众所有数据的,当然是中共。只是在阿里巴巴托管的过程中,数据出现了泄漏。若完全把后果归在阿里巴巴身上,并不公平,因为这些数据中存有“秘密”,并不“干净”。如果只是一些姓名、身份的数据,相信中共不担心有人会利用这些数据搞诈骗,因为中国大陆在网上买卖民众数据的事情,已经司空见惯。
CNN也报道说,目前,安全专家们已将这次大规模泄露案的主要责任人,指向数据的所有者即上海公安局,一些被访专家表示,有问题的是数据的所有者,而不是数据库托管公司的错。
“到目前为止,有些海外专家,依据这些数据查出了中国人口实际变化的趋势,与中共官方公布的有很大不同;还有人依据这些数据查出了中共对信仰人士的迫害。这些恐怕才是中共最担心的,也是急于约谈阿里巴巴,甚至会追责阿里巴巴的原因之一,因为这些数据中有中共不想爆光的内容。”李林一说。
这起大规模数据泄露事件也坐实中共大规模收集全国人民个人数据,事无巨细,实施全面监控。中国拥有世界上最复杂、最全面的数字监控系统,由数以亿计的摄像头、电话追踪器和包括脸部生物特征、声纹在内的数据组成。
2021年,北京通过了第一部《个人信息保护法》,虽然该法可以规范技术公司,但当法规面对中共专政时,执行起来可能很困难。而中共掌握这些数据,本身就能对民众,尤其是良心人士构成威胁。
美国乔治‧梅森大学客座教授、网络安全专家黄基祯对“美国之音”表示,“这个中国大陆地区的数据在地化,代表政府掌握人民很多重要的数据。”
他说,“上海泄密事件……增加了人民对政府更加的不信任——原本是相信政府,把个人资料给政府保管,而现在资料外泄,变成对政府越来越不信任。”
