大量中國警方文件在涉嫌黑客事件中被掛牌出售——《華爾街日報》

一名匿名黑客或黑客組織正在出售據稱從警方數據庫竊取的大量中國公民數據，其中部分信息經核實確為真實。若得到證實，這將成為史上最大規模的個人數據泄露事件之一。

根據該黑客週四在某知名網絡犯罪論壇發佈的廣告帖，該數據緩存據稱包含從上海警方竊取的數十億條記錄，涉及十億中國公民信息。週末期間在社交媒體流傳的帖子顯示，泄露數據標價10比特幣（約合20萬美元）。

網絡安全專家表示，此次黑客攻擊之所以令人震驚，不僅在於其號稱的龐大規模（可能躋身有記錄以來最大規模數據泄露事件，也是中國已知最大規模數據泄露），更在於政府數據庫中包含的信息敏感度。

黑客發佈的數據樣本自稱包含75萬條記錄，其中有個人姓名、身份證號、電話號碼、生日和出生地，以及向警方報案案件詳細摘要。案件類型從輕微盜竊、網絡詐騙到家庭暴力舉報不等，時間跨度最早可追溯至1995年，最近至2019年。

儘管數據泄露範圍尚未得到證實，《華爾街日報》通過撥打泄露數據中的電話號碼核實了部分記錄。五人確認了所有數據（包括僅可能從警方渠道獲取的案件細節），另有四人在確認姓名等基本信息後掛斷電話。

一位女性對泄露信息的準確性感到震驚，她詢問關於她的信息是否來自她在2016年案件檔案中報失的iPhone。

在中國，公眾對數據泄露事件的憤怒情緒日益高漲，人們擔憂此類事件已達到難以忍受的程度。圖片來源：ALY SONG/REUTERS根據黑客公佈的記錄，另一位魏姓男子曾報案稱被詐騙分子誘騙參與投資計劃損失3萬元人民幣，得知數據泄露後他嘆息道：“我們都在裸奔”，這是中國形容隱私缺失的流行説法。

不過網絡安全專家對黑客的所有説法仍持謹慎態度。

澳大利亞網絡安全顧問特洛伊·亨特表示，該數據庫規模之龐大——可能涵蓋中國14億人口中的大多數——以及發佈者匿名性都引發質疑。

亨特稱，雖然多數黑客受經濟利益驅動，但索要鉅額贖金的行為也增加了信息被偽造或誇大的可能性。

《華爾街日報》嘗試撥打的多個號碼均為空號或已停用。中國手機用户每隔幾年更換號碼的情況並不罕見。

上海警方、上海市委宣傳部及中國網信辦未回應置評請求。

在數據庫被掛售的論壇上，黑客或黑客組織聲稱數據取自阿里巴巴集團旗下的雲計算子公司阿里雲，他們表示上海警方數據庫託管於此。

週一，加密貨幣交易所幣安首席執行官趙長鵬發推文稱，公司已檢測到此次黑客攻擊，並"加強了對可能受影響用户的驗證"。幣安未回應置評請求。

近年來全球數據泄露事件頻發。網絡安全公司Risk Based Security數據顯示，2021年公開披露的4145起數據泄露事件共導致超過220億條記錄外泄。

根據售賣帖內容，這批遭竊數據據稱包含從上海警方盜取的數十億條記錄。圖片來源：WANG ZHAO/AGENCE FRANCE-PRESSE/GETTY IMAGES但如此大規模的數據泄露在中國將引發高度敏感——該國黑市數據販子曾猖獗進行個人信息倒賣。過去幾年北京加強了個人信息保護，最新舉措是2021年出台《個人信息保護法》，部分原因是公眾對數據泄露已達不可容忍程度的普遍憤怒。

這些行動特別針對企業，但在國家安全考量下，為政府收集信息留下了廣泛的豁免空間。

網絡安全專家表示，此類數據泄露可能對受影響的個人產生持久且不可預測的後果。

“試圖從互聯網上刪除你的信息，就像試圖從游泳池中去除尿液一樣，”亨特先生説。“它只是融入了一個暴露數據的大熔爐，你根本不知道哪一部分來自哪裏。”

亨特先生補充説，這次泄露事件突顯出中國廣泛的互聯網過濾系統（通常被稱為“防火牆”）在防止公民數據被黑客攻擊併發布到網上供任何人訪問方面能做的很少。

“儘管中國盡了最大努力，但互聯網確實沒有邊界，”他説。

聯繫 Karen Hao，郵箱 [email protected] 和 Rachel Liang，郵箱 [email protected]

刊登於2022年7月5日印刷版，標題為“黑客數據待售”。