根据路透社报道,一名黑客上周声称从上海公安获得了10亿中国公民的大量个人信息。技术专家称,如果事件属实,这将是史上最大规模的数据泄露事件之一。
这位匿名为“ChinaDan”的黑客,上周在黑客论坛“突破论坛”(Breach Forums)发文称:“2022年,上海国家警察数据库(SHGA)被泄露了。这个数据库包含许多TB的数据和数十亿中国公民的信息。”
该文章续写道,数据库还包含几十亿的报警案件记录,“包括:姓名、地址、出生地、公民身份证号码、手机号码、所有犯罪案件细节。”
该名黑客提出以10个比特币的价格(相当于约20万美元),出售总共超过23TB的数据。
自上周末以来,有关话题在中国社交媒体网络被广泛讨论,许多民众担忧消息可能为真。随后,“数据泄露”的话题標簽在周日(7月3日)下午遭微博屏蔽,但目前微博实时搜索仍能看见零星的“漏网之鱼”。有网民对此表示震惊,形容数据泄漏如同“裸奔”,亦有网民认为,10亿公民的个资只求售10个比特币,过于廉价,质疑真实性。
德国之声尚无法核实该名黑客发布的文章内容真实性。截至周二(7月5日),上海市政府与公安局也并没有回应包含路透社在内多家外媒的置评请求。目前,亦无法联系到该名黑客。
《华尔街日报》与《卫报》尝试通过已被曝光的电话号码核实,结果显示,部分尝试联系的号码已经无效或不再使用,但部分民众确认了他们的有关数据。
事件爆出后,许多中国网民形容数据外泄如同“裸奔”。中国官方尚未针对此事作出回应。
《华尔街日报》报道指出,这份由黑客发布的数据样本包括了75万条记录,涵盖个人姓名、身份证号码、电话号码、生日和出生地,以及向警方报告的犯罪和事件的详细摘要。案件范圍最早可以追溯至1995年,最迟至2019年。通过这份数据样本的曝光资料致电询问后发现,有5人确认了与他们有关的所有数据,包括除警方外很难从任何渠道获得的案件细节;另4人确认了基本信息,如他们的名字,然后便挂断电话。
自由亚洲电台则引述一名据称“了解此事件部分内情的网络热点事件关注者常先生”的说法。该报道称,常先生向记者表示这起事件“大概率是去年泄露出去但现在被人拿出来卖,上海调查去年落马的公安局局长龚道安(涉受贿案),可能有关,大概率是从阿里云泄露的,当时上海市公安局的存储信息的供应商是阿里云,没用腾讯。因为当时龚道安觉得阿里云比较好用。现在泄露出去的资料都是真实的。”
专家怎么看?
上海国家警察数据库疑有10亿公民的数据遭到泄露,对此,总部位于北京的策纬谘询公司(Trivium China)科技政策研究主管薛佛(Kendra Schaefer)在推特发文表示,很难从众多谣传消息中辨别真相。薛佛说,如果黑客声称手上握有的数据资料确实来自公安部,那么“这将是史上最大和最糟糕的外泄事件之一。”
全球加密货币交易所币安(Binance)的首席执行官赵长鹏周一(7月4日)表示,该交易所的威胁情报部门在侦测到有10亿居民的纪录在暗网待售后,已经加强了用户验证流程,并呼吁其他平台跟进加强安全措施。
赵长鹏在推特写道:“我们的威胁情报检测到有10亿居民的记录在暗网出售,包括来自一个亚洲国家的居民姓名、地址、公民身份号码、手机、警察和医疗记录”。他称,这可能是由于政府机构在Elastic Search部署中的一个错误,才导致据数外流。
然而赵长鹏并没有在推特上明言,所指是否为上海公安数据泄露的传言,“一个亚洲国家”指的是否为中国。他也没有立即回应路透社的置评请求。
澳大利亚的网络安全顾问亨特 ( Troy Hunt ) 则向《华尔街日报》表示,自己对黑客说法持谨慎态度。亨特表示,中国有14亿人口,黑客声称取得的个资涉及10亿人,该数据库规模极为庞大,这引起了一些质疑。
亨特还说,虽然大多数黑客求售外泄数据都是基于经济动机,但索要大笔资金的行为也增加了其说法被夸大或伪造的可能性。
《卫报》则引述威斯康辛大学麦迪逊分校的资深学者易富贤的说法。易富贤称,他下载了网络上的样本数据,发现了与他的家乡湖南有关的信息。
易富贤表示:“这些数据几乎包含了中国所有县城的信息,我甚至发现了与西藏一个偏远县城有关的数据,那里只有几千名居民。”
近年来,中国发生了多起数据泄露事件。2016 年,包括阿裡巴巴创始人马云在内的中国权势人物的敏感信息,被曝光发布在推特上,引发轩然大波。
一系列数据外泄事件引发中国当局关注。去年,中国通过了一项新的法律,规定应如何处理在其境内产生的个人资讯和数据。
相关报道:
一名黑客近日宣称获取了中国上海公安系统逾23TB(太字节)数据量的10亿中国公民的户籍、身份证等个人敏感信息,以及数十亿条报警记录等资料,并以10个比特币,约20万美元的价格出售。科技专家表示,如果属实,这将是历史上最大的个人数据泄露事件之一。
据《华尔街日报》报导,根据黑客上周四在一个流行的在线网络犯罪论坛上发布的一篇宣传其可用性的帖子,该缓存据称包括从上海警方窃取的数十亿条记录,其中包含十亿中国公民的数据。该帖子于周末开始在社交媒体上流传,将出售泄漏数据的价格定为10 比特币,或大20万美元。
网络安全专家表示,声称的黑客攻击令人震惊,不仅是因为其所谓的规模,如若属实这将是有史以来最大的个人数据泄露事件的记录之一,也是已知的中国最大的黑客攻击,还因为所谓政府数据库中包含的信息的敏感性。
报导称,黑客发布的数据样本包括75万条记录,包括个人姓名、身份证号码、电话号码、生日和出生地,以及向警方报告的犯罪和事件的详细摘要。这些案件的范围从小偷小摸和网络欺诈事件到家庭暴力的报告,最早可以追溯到1995年到最近到2019年。
虽然数据泄漏的范围仍未得到证实,但《华尔街日报》的记者通过给电话号码被列出的人打电话核实了泄露的几条记录。有五个人确认了所有的数据,包括除警方外很难从任何渠道获得的案件细节。还有四个人确认了基本信息,如他们的名字,然后便挂断电话。
一位女士对泄露细节的准确性感到震惊,她询问记者有关她的信息是否来自她在2016年的案件档案中报告被盗的iPhone。根据黑客公布的记录,另一名姓魏的男子在被骗子说服加入投资计划后被骗了3万元,听到他的数据疑似被泄露后,他叹了口气说,“我们都在裸奔”。
澳大利亚的网络安全专家亨特 (Troy Hunt) 表示,该数据库的庞大规模——包括中国 14 亿人口中的大多数引起了一些怀疑,他对发布信息的用户的匿名性也是如此。亨特认为,虽然大多数黑客都是出于经济动机,但索要大笔资金的行为也增加了这种说法被夸大或伪造的可能性。
报导指,记者尝试的几个号码无效或不再使用。在中国,手机用户每隔几年更换一次号码的情况并不少见。上海警方、上海市宣传办公室和中国互联网监管机构没有回应置评请求。在该数据库已发布出售的论坛上,黑客或组织声称此次入侵针对的是阿里巴巴集团旗下的云计算子公司阿里云,他们称阿里云是上海警方数据库的主机。阿里巴巴表示已知晓此事并正在调查此事。
周一,加密货币交易所币安首席执行官赵长鹏在推特上表示,该公司已检测到黑客攻击,并“加强了对可能受到影响的用户的验证”。币安没有回应置评请求。
近年来,数据泄露在全球范围内十分猖獗。根据网络安全公司风险基础安全(Risk Based Security) 的数据,到2021 年,共有4145起公开披露的违规行为共同暴露了超过220亿条记录。
但如此大规模的泄密事件在中国尤其敏感,黑市数据经纪人曾经在中国贩卖个人数据的生意兴隆。过去几年,中国官方加大了对个人信息的保护力度,最近一次是在2021年通过了《个人信息保护法》,部分原因是公众普遍对个人信息被泄露的程度感到愤怒。
网络安全专家表示,此类违规行为可能会对受影响的个人产生持久且不可预测的后果。亨特说:“试图从互联网上删除您的信息就像试图从游泳池中删除小便一样。”他说:“它只是进入了一个暴露数据的大熔炉,你不知道哪一点来自哪里。”
亨特补充说,泄露事件凸显了中国互联网防火墙在防止其公民数据被黑客入侵和在线发布以供任何人访问方面几乎无能为力。“尽管中国尽了最大努力,但互联网确实没有国界,”他说。