阿里巴巴高管被中國當局傳喚調查歷史數據泄露案——華爾街日報

阿里巴巴雲是中國最大的公共雲服務提供商，而最近的數據泄露事件涉及估計近10億中國公民。照片：Mark Schiefelbein/美聯社香港——據知情人士透露，阿里巴巴集團控股有限公司的雲部門高管已被上海當局召見談話，涉及一起龐大的警察數據庫盜竊案，這為中國科技巨頭內部調查增添了緊迫性，以查明歷史上最大規模的數據盜竊案之一是如何發生的。

調查圍繞着一批敏感的上海警察數據展開，這些數據涉及估計近10億中國公民，並於6月下旬在網上以約20萬美元的價格出售。網絡安全研究人員表示，該數據庫的管理儀表板在公共互聯網上無密碼開放了一年多，使得其內容容易被竊取和刪除。

根據對數據庫的掃描，研究人員得出結論，該數據庫託管在阿里巴巴的雲平台上。公司員工也證實了這一關係。

據知情人士透露，在一位匿名賣家在犯罪論壇上發佈數據廣告並提供樣本後，阿里巴巴及其雲部門的高級管理人員於7月1日召開虛擬會議，制定緊急應對措施。

據知情人士透露，被上海當局召見的高管包括阿里雲副總裁陳雪松，他最近被聘來負責該部門的數字公共安全業務。

記者未能聯繫到陳雪松置評。阿里巴巴和上海市政府沒有立即回應置評請求。

阿里巴巴創始人馬雲是中國在警務和社會控制中使用數據的早期倡導者。圖片來源：Marlene Awaad/Bloomberg一些瞭解相關情況的員工表示，自發現數據被盜以來，阿里巴巴的工程師已暫時禁用對該被入侵數據庫的所有訪問，並開始檢查相關代碼。他們説，入侵的原因尚未確定。

兩家網絡安全公司告訴《華爾街日報》，根據對該數據庫元數據的分析，失竊數據是用幾年前就過時的技術存儲在阿里雲上的，缺乏基本的安全功能。他們發現該公司託管的十幾個其他數據庫也存在類似情況。

阿里巴巴沒有回應對這些公司調查結果的置評請求。

根據賣家提供的樣本，失竊數據據信包含絕大多數中國公民（包括未成年人）的姓名、身份證號碼和電話號碼，以及向上海警方報案的犯罪記錄和其他敏感信息。儘管全球範圍內數據庫未受保護的情況很常見，但網絡安全研究人員表示，他們震驚地看到如此大量的這種級別的敏感信息被公開兜售。

此次數據泄露事件凸顯出中國當局通過全國性數字監控系統收集的海量信息，以及政府在保障這些數據安全方面面臨的困難。

中國國家行政學院去年11月發佈的報告警告稱，數字系統處理人才匱乏、與技術供應商缺乏協調，正阻礙政府利用技術更高效管理社會的努力。該學院為政府下屬機構。

據熟悉其背景的員工透露，被上海當局召見的阿里雲高管陳先生，此前曾是公安和信息技術領域的政府資助工程師。目前尚不清楚他們的會議討論了哪些內容。

據知情員工和一位雲服務客户透露，隨着調查持續，阿里雲已要求員工審查關鍵客户合同中的數據庫架構、配置等細節，特別是政府機構和金融機構等擁有專屬私有云資源的客户。

對於網絡安全研究人員上週發現被盜警察數據庫儀表盤未設密碼的情況，阿里巴巴和上海警方均未予以置評。

據掃描網絡不安全數據庫的兩家網絡安全公司LeakIX和SecurityDiscovery的研究人員稱，該儀表盤不僅沒有密碼，而且無法添加密碼保護。

研究人員表示，阿里巴巴用於存儲數據的數據庫及訪問管理數據的儀表盤，使用的都是多年前的舊版本產品。他們指出，這些版本本身不具備任何安全功能（如密碼保護），需額外安裝插件實現，但相關插件從未被安裝。

由於數據庫存放在安全的私有服務器上，缺失插件影響不大。但儀表盤卻被部署在公共互聯網上，如同為數據金庫敞開大門，使得內部信息可被隨意導出。

該數據庫還缺少最新的安全證書——這種用於加密網絡流量的數字身份標識已成為行業標配。研究人員稱，阿里巴巴最近一次部署新證書是在2017年9月，該證書一年後過期且從未續期。

LeakIX首席技術官格雷戈裏·博丁表示，使用過期證書雖未直接增加數據庫漏洞，但表明維護工作長期缺失。“至少四年間完全無人維護”，他補充道。

LeakIX和SecurityDiscovery均發現，另有13個阿里雲託管的數據庫使用相同過時的數據庫和儀表盤版本，且採用完全相同的配置——數據庫在私有服務器，儀表盤在公共互聯網。博丁指出，這13個數據庫都使用了同一張已過期的證書，嚴重違背安全最佳實踐。

根據LeakIX的記錄，幾乎所有數據庫都已被公開超過一年。其中兩個數據庫包含的數據量甚至超過了從上海警方竊取的23TB：一個超過60TB，另一個超過92TB。

“對於如此規模的數據庫，即使只暴露一天，也足以讓惡意行為者抓取和收集數據，“SecurityDiscovery的所有者鮑勃·迪亞琴科説。

7月初，在數據泄露事件開始在社交媒體上引起廣泛關注後不久，阿里巴巴就切斷了所有14個數據庫的公共訪問，博丁和迪亞琴科先生表示。

阿里巴巴創始人馬雲是數據在警務和社會控制中應用的早期倡導者。2016年，他向150萬政法官員發表演講，稱對海量數據的分析將幫助公安部門追蹤小偷並在恐怖襲擊發生前進行預測。

根據政府支持的智庫CCW Research的數據，阿里雲是中國最大的公共雲服務提供商，但在滿足需要私有云系統的客户需求方面，遠遠落後於華為技術有限公司等競爭對手。阿里雲在截至3月的季度實現了盈利，成為中國首家在燒錢的雲服務領域實現盈利的提供商。

阿里巴巴此前曾因其數據安全實踐受到審查。去年12月，中國科技主管部門暫停了與阿里雲為期六個月的網絡安全合作，原因是北京方面指控該公司未及時向其報告一個全球軟件漏洞。

去年，在當地電信監管機構的壓力下，該公司披露了2019年一名員工將客户聯繫信息泄露給經銷商的事件。

本週早些時候，上海當局宣佈對政府機構、國有企業、大型科技公司和其他實體的關鍵網站和平台進行網絡安全審查，特別關注那些包含超過100萬人個人數據的平台。

Raffaele Huang對本文有貢獻。

聯繫作者 Karen Hao，郵箱：[email protected]

本文發表於2022年7月15日的印刷版，標題為《阿里巴巴因數據盜竊接受調查》。