图为网络黑客示意图。(FOTOLIA)
自从在6月份,有大约10亿中国居民个人信息的数据在一个暗网论坛上被出售以来,研究人员发现,在非法数据市场上贩卖的中国居民个人信息数量急剧增加。
据彭博新闻社(Bloomberg)报导,总部设在新加坡的网络安全公司Group-IB表示,在6月的那次海量中国居民个人信息遭泄露事件之后,7月份,又有大约2.9亿条关于中国人的个人资讯,在一个名为“突破论坛”(Breach Forums)的地下数据市场被出售。
8月份,一个卖家兜售了上海健康码系统的近5000万用户的个人信息。该系统用于强制执行当局的检疫和病毒测试命令。据称,这些个人信息中包括了姓名、电话号码、身份证号和他们的Covid(中共病毒)疫情状况等等。其售价为4,000美元。
Group-IB公司的研究员何飞翔(音译,Feixiang He)表示:“论坛上从未见过如此多的中国用户,以及对中国人数据的如此大的兴趣。未来针对中国用户的黑客攻击数量,可能还会增加。”
目前无法确认黑客论坛Breach Forums上出售的这些中国数据库的真实性。像其它出售非法商品的黑市一样,该地下论坛上既会出现旨在引起关注的虚假销售广告,也会有在网络安全事故中被盗的真实数据。比如,从推特(Twitter)公司获取的用户个人信息就曾被出售。
外界对遭泄露的中国居民个人数据的浓厚兴趣,使北京政权通过其庞大的监控机构所收集的海量个人信息的安全性问题,成为人们关注的焦点。
在这个发生在今年夏季的、被称为“黑客兜售中国上海公安十亿人数据库”网络安全事件中,未知的黑客声称,发现了一个安全防护很差的上海警方数据库,并盗取了约10亿中国居民的数据。该事件暴露了中共政府机构在存储公民信息方面存在重大漏洞。
据Group-IB公司的何飞翔透露,在那次事件之前,还有另外三个与中国有关的数据库,在黑客论坛Breach Forums上销售。该公司发现,在7月份,这一数字猛增到17个。研究人员无法确认非法出售的数据库中的信息的真实性。
据彭博新闻社报导,黑客论坛Breach Forums上的中文用户,对于有海量中国公民的个人数据可供出售感到惊讶。用中文谈论该问题的帖子大量出现,以至于论坛管理员提出了特别要求,网站访问者需用英文发帖。他们写道:“请不要发送中文帖子。”
在这起“上海公安十亿人数据库”泄密事件发生后的10天内,总部位于旧金山的Reposify公司的研究人员,在扫描中共政府网站的软件漏洞时,发现了超过12700个暴露目标,其中这包括了网络服务器和可远程访问的站点。该公司说,他们还发现了1436个暴露在外的数据库,可能包含数以百万计的中国公民信息数据。”
尽管北京当局实施的网络安全和数据隐私标准越来越严格,其领导人也将该问题与国家安全紧密联系在一起,但在黑市出售的中国居民个人信息数据库的数量,仍在急剧上升。
上海当局和中共的互联网监管机构,都没有公开处理警察和卫生系统数据的泄露问题。在互联网上对这些事件的讨论,也被当地的社交媒体审查员迅速清除了。上海市政府和中共网络空间管理局(主要的互联网监管机构)都没有对彭博社要求发表评论的多份传真作出回应。
安全公司Acronis International GmbH的联合创始人斯坦尼斯拉夫·普拉托索夫(Stanislav Pratossov)对此表示:“我们可以看到,数以万计的仅在中国就有超过2万台服务器是完全开放的。虽然这种情况到处都有,但在中国,我想,其数量多得离谱。由于中国经济的规模,中国的服务器数量也是巨大的。”
分析师说,他们预计,在远离公众视线的地方,有关部门可能会就此进行内部审查,并对参与数据管理的人进行更严格的审查。
中国企业的网络顾问、曾出书讨论中国网络产业问题的作家迈克尔·弗里克(Michael Frick)评论说:“不管这件事如何发展,它都会给网络安全制度,和执行这些法规的机构带来不利影响。”
与此同时,黑客们也正在为更多的中国数据泄露做准备。地下数据库论坛上的一位新用户,在7月加入该网站之后,声称要出售上海卫生系统的数据。并说,他们有更多遭泄露的信息可以对外分享。
这位不愿透露姓名的用户写道“以我的愚见,再多的网络安全(或)数据保护,也无法阻止数据泄露的发生。”
