近日传出上海公安系统涉及中国10亿公民个资外泄,包括姓名、地址、手机号码、身份证号等。(图片来源:TPG/Getty Images)
【看中国2022年7月8日讯】近日传出上海公安系统涉及中国10亿公民个资外泄,包括姓名、地址、手机号码、身份证号等。相关消息未见官方“辟谣”。值得注意的是,网络安全专家发现,用于管理和访问该数据库的“控制面板”(dashboard)出现一个常见漏洞,使该数据库过去1年多来一直曝露在风险中,导致这场有记录以来最大规模个资数据外泄。
美国之音(VOA)报导,中国公民资讯外泄事件让北京“数据治国”政策颜面无光。近年来,北京通过了一系列法律规范,限制敏感数据包括个资在内的商业收集,并要求数据必须在中国国内储存。同时,中共政府继续透过全国性数位监控设备,收集公民大量数据,以更严格掌控社会。
《纽约时报》指出,骇客兜售提供上海警方数据库的外泄资讯,凸显中国监控收集公民资讯后,在保护这些数据的安全性方面能力不足,且在中国当前法律规定下,无从究责。
上海公安系统疑似发生大规模个资泄漏,涉及全中国10亿人。(图片来源:推特截图)
《华尔街日报》引述网络安全专家表示,上海警方数据库包括个人姓名、地址、手机号码、身份证号,以及几十亿条警情,涉及近10亿中国公民。西方篮球公司发现,有关这个数据库的管理和访问功能的一个“控制面板”,自2021年起便开始一直保持打开状态,任何有相对基本技术知识的人都可以轻松访问、复制或窃取库中的海量资讯。
根据报导,资安公司“SecurityDiscovery”的老板狄亚申科(Bob Diachenko)表示,从2021年4月到今年6月中旬,该数据库在这一年多时间里一直曝险在网络上。而该数据库在上月中旬突然被清空,放上一张勒索通知,意指要支付赎金为10枚比特币(约20万美元),骇客才会归还这些数据。
暗网情报公司“Shadowbyte”创办人托伊亚(Vinny Troia)也惊叹,“他们把这么多数据曝露在外,这太疯狂了”。
据报导,“Shadowbyte”这家公司专门扫描搜寻存在安全漏洞的网络数据库,早在今年1月扫描时,就发现这个上海警方数据库。
“SecurityDiscovery”也在今年稍早进行定期网络扫描时,发现这个数据库,后来又在扫描时发现了那张勒索通知。
根据报导,一位匿名用户上周四在某网络犯罪论坛以同样价格,出售一个数据库的访问权,并称这个数据库包含从一个上海公安数据库中盗取的数十亿条中国公民资讯记录。这篇帖子上周末开始在社群媒体上迅速传开。上海市政府和中国国家互联网资讯办公室未回应报导置评的请求。
美国之音报导,荷兰莱登大学现代中国研究助理教授、史丹佛大学网络政策中心“数位中国”(DigiChina)项目共同创办人克里默斯(Rogier Creemers)表示,这次骇客事件让中共政府“非常难堪”,“中国(中共)政府数位野心带来了风险,这起事件削弱民众对中国政府控管这种风险能力的信任和信心。”
美国乔治梅森大学客座教授、网络安全专家黄基祯认为,此次上海警方数据泄露事件代表的是对“中国政府数据化发展”的一种打击,中共政府严格要求数据在当地储存,“现在(个人)资料外泄,变成人民对(中共)政府越来越不信任”。
目前官方对上海公安信息泄露事件的消息严防死守。在微博上,有关“上海公安数据”或“上海公安数据泄露”的关键词搜索,都没有任何有关结果。