編譯:李順瑭|圖:編輯部
一
名駭客近日宣稱獲取中國上海公安系統逾23TB,數據量的10億中國公民的戶籍、身份證等個人敏感信息,以及數十億條報警記錄等資料,並以10個比特幣,約20萬美元的價格出售。科技專家表示,如果屬實,這將是歷史上最大的個人數據泄露事件之一。
據《華爾街日報》報導,根據駭客上6月30日周四,在一個流行的在線網路犯罪論壇上,發布的一篇宣傳其可用性的帖子,該緩存據稱包括從上海警方竊取的數十億條記錄,其中包含十億中國公民的數據。該帖子於7月2日周末開始在社交媒體上流傳,將出售泄漏數據的價格定為10比特幣,或大約20萬美元。
網絡安全專家表示,聲稱的駭客攻擊令人震驚,不僅是因為其所謂的規模,如若屬實,這將是有史以來最大的個人數據泄露事件的記錄之一,也是已知的中國最大的駭客攻擊,還因為所謂政府數據庫中,包含的信息的敏感性。
報導稱,駭客發布的數據樣本包括75萬條記錄,包括個人姓名、身份證號碼、電話號碼、生日和出生地,以及向警方報告的犯罪和事件的詳細摘要。這些案件的範圍從小偷小摸和網路欺詐事件,到家庭暴力的報告,最早可以追溯到1995年到最近到2019年。
雖然數據泄漏的範圍,仍未得到證實,但《華爾街日報》的記者通過給電話號碼被列出的人打電話,核實泄露的幾條記錄。有五個人確認所有的數據,包括除警方外,很難從任何渠道獲得的案件細節。還有四個人確認基本信息,如他們的名字,然後便掛斷電話。
一位女士對泄露細節的準確性感到震驚,她詢問記者有關她的信息是否來自她在2016年的案件檔案中報告被盜的iPhone。根據駭客公布的記錄,另一名姓魏的男子,在被騙子說服加入投資計畫後,被騙3萬元,聽到他的數據疑似被泄露後,他嘆口氣說,我們都在裸奔。
澳大利亞的網路安全專家亨特Troy Hunt表示,該數據庫的龐大規模,包括中國 14億人口中的大多數,引起一些懷疑,他對發布信息的用戶的匿名性,也是如此。亨特認為,雖然大多數駭客,都是出於經濟動機,但索要大筆資金的行為,也增加這種說法被誇大或偽造的可能性。
報導指,記者嘗試的幾個號碼無效或不再使用。在中國,手機用戶每隔幾年更換一次號碼的情況,並不少見。上海警方、上海市宣傳辦公室和中國互聯網監管機構,沒有回應置評請求。在該數據庫已發布出售的論壇上,駭客或組織聲稱,此次入侵針對的是阿里巴巴集團旗下的雲計算子公司阿里雲,他們稱阿里雲是上海警方數據庫的主機。阿里巴巴表示已知曉此事,並正在調查此事。
7月4日周一,加密貨幣交易所幣安首席執行官趙長鵬在推特上表示,該公司已檢測到駭客攻擊,並加強對可能受到影響的用戶的驗證。幣安沒有回應置評請求。
近年來,數據泄露在全球範圍內十分猖獗。根據網絡安全公司風險基礎安全Risk Based Security的數據,到2021 年,共有4,145起公開披露的違規行為,共同暴露超過220億條記錄。
但如此大規模的泄密事件在中國尤其敏感,黑市數據經紀人曾經在中國販賣個人數據的生意興隆。過去幾年,中國官方加大對個人信息的保護力度,最近一次是在2021年通過《個人信息保護法》,部分原因是公眾普遍對個人信息,被泄露的程度感到憤怒。
網路安全專家表示,此類違規行為,可能會對受影響的個人,產生持久且不可預測的後果。亨特指出:試圖從互聯網上刪除您的信息,就像試圖從游泳池中清除小便一樣。他說:它只是進入一個暴露數據的大熔爐,你不知道哪一點來自哪裡。
亨特補充表示,泄露事件凸顯中國互聯網防火牆,在防止其公民數據,被駭客入侵和在線發布,以供任何人訪問方面,幾乎無能為力。儘管中國盡了最大努力,但互聯網,確實沒有國界。
