中國警方數據庫在線暴露逾一年 導致信息泄露——《華爾街日報》

這可能是歷史上最大規模的個人數據盜竊案之一，也是中國已知的最大網絡安全漏洞，其根源在於一個常見的安全漏洞，導致數據在互聯網上處於可被隨意獲取的狀態。今年早些時候發現該漏洞的網絡安全專家表示。

據網絡安全專家稱，上海警方的記錄——包含近10億中國公民的姓名、身份證號碼、電話號碼和事件報告——原本是安全存儲的。但他們表示，用於管理和訪問這些數據的儀表板被設置在公共網頁地址上，且未設置密碼保護，這使得任何具備相對基礎技術知識的人都能輕鬆進入並複製或竊取這批信息。

“他們竟然讓如此大量的數據暴露在外，簡直瘋狂，”暗網情報公司Shadowbyte的創始人維尼·特羅亞説。該公司負責掃描網絡尋找未受保護的數據庫，並於1月份發現了上海警方的數據庫。

泄露的上海警方記錄包含近10億中國公民的姓名、身份證信息和事件報告。圖片來源：alex plavevski/Shutterstock網絡安全研究公司SecurityDiscovery的所有者鮑勃·迪亞琴科表示，該數據庫從2021年4月到上月中旬一直處於暴露狀態，持續了一年多時間，之後其數據突然被清空，取而代之的是一封勒索信，等待上海警方發現。該公司同樣在今年早些時候的定期網絡掃描中發現了該數據庫，後來又發現了這封勒索信。

“你的數據是安全的，”根據迪亞琴科先生提供的截圖，勒索信上寫道。“聯繫以獲取你的數據…恢復需10比特幣”，意思是支付10個比特幣（約合20萬美元）即可歸還數據。

這一贖金數額與上週四某匿名用户在網絡犯罪論壇上的要價一致，該用户聲稱可用一個數據庫的訪問權作為交換，其中包含從上海公安數據庫竊取的數十億條中國公民信息。

週末期間在社交媒體流傳的這則帖子令網絡安全專家震驚，不僅因為泄露規模龐大，更因政府數據庫中信息的敏感性。

上海市政府及中國國家互聯網信息辦公室未回應置評請求。

網絡安全專家已拼湊出該數據庫真實性的新證據，以及如此大量隱私信息如何落入犯罪分子之手的細節。

他們表示，這個儀表板如同通向數據金庫的敞開後門——即使在所有數據失竊後仍未關閉，直到該漏洞引發公眾廣泛關注。特羅亞先生認為，數據竊取者與兜售者很可能是同一主體。

“常見情況是，如果勒索受害者不付款，他們就會嘗試在網上轉賣數據，”他説。

目前無法確定該數據庫是意外還是故意公開——可能是為了方便少數人共享數據。特羅亞和迪亞琴科均表示此類漏洞很常見，但兩人都對發現如此規模的不設防數據庫感到震驚。

兩人均表示，他們還證實了匿名爆料者的説法，即泄露數據包含超過23TB的信息，涉及多達10億人。他們稱，其中一個名為“person_address_label_info_master”的文件——包含姓名、出生日期、地址、政府身份證件及證件照片——記錄條數接近9.7億行，這表明若沒有重複條目，該文件包含的個人信息數量與之相當。

該文件對具有犯罪記錄的人員進行了標記，包括交通違規者、在逃人員以及涉嫌強姦或謀殺者。其中還包含“需重點關注人員”標籤，這是中國政府監控系統中常用的分類，用於標識被視為對社會秩序構成威脅的人員。

一份泄露的上海警方文件記錄範圍從交通違法到謀殺指控。圖片來源：alex plavevski/Shutterstock此次數據泄露事件凸顯了政策研究者所指出的中國信息安全策略的核心矛盾。

近年來，中國政府將數據安全與隱私保護作為優先事項，頒佈了一系列旨在限制商業機構收集敏感數據（包括個人信息）並確保其留在境內的法律法規。與此同時，政府自身仍通過全國性數字監控系統持續收集海量數據，以加強對社會的管控。

部分中國科技政策專家表示，此次信息從政府機構泄露——且目前有數量不明的副本在境外流傳——可能削弱北京方面關於此類系統保護國家安全的論點

北京戰略諮詢公司Trivium China科技政策研究主管Kendra Schaefer在推特上就此次泄露事件評論道：“目前尚不清楚該由誰來問責。“她表示，通常由公安部負責網絡犯罪調查，該部門監管着上海警方等地方警察機構。

中國政府尚未對此數據泄露事件發表評論，中國社交媒體上相關討論正被迅速刪除。

推特上一些中文用户（包括加密貨幣交易所幣安的首席執行官）推測，此次泄露源於2020年CSDN（一個類似Github的中國開發者論壇）用户發佈的技術博客文章，該文章似乎無意中包含了上海警方服務器的訪問憑證。

Troia和Diachenko先生表示，根據數據庫配置，實際上根本不需要訪問憑證，因此這種推測不太可能成立。他們稱問題出在設置儀表板的人員身上。

聯繫記者 Karen Hao，郵箱 [email protected]；Rachel Liang，郵箱 [email protected]

本文發表於2022年7月7日印刷版，標題為《中國警方數據庫在線上公開逾一年》