摘要:自上周末以來,網傳上海公安有大批數據外泄,一名黑客聲稱取得了10億中國公民的個資,喊價10個比特幣出售。對此,中國官方迄今未辟謠或證實。若屬實,恐將是史上最大規模的個資外流事件之一。
根據路透社報道,一名黑客上周聲稱從上海公安獲得了10億中國公民的大量個人信息。技術專家稱,如果事件屬實,這將是史上最大規模的數據泄露事件之一。
這位匿名為“ChinaDan”的黑客,上周在黑客論壇“突破論壇”(Breach
Forums)發文稱:“2022年,上海國家警察數據庫(SHGA)被泄露了。這個數據庫包含許多TB的數據和數十億中國公民的信息。”
該文章續寫道,數據庫還包含幾十億的報警案件記錄,“包括:姓名、地址、出生地、公民身份證號碼、手機號碼、所有犯罪案件細節。”
該名黑客提出以10個比特幣的價格(相當於約20萬美元),出售總共超過23TB的數據。
自上周末以來,有關話題在中國社交媒體網絡被廣泛討論,許多民眾擔憂消息可能為真。隨後,“數據泄露”的話題標簽在周日(7月3日)下午遭微博屏蔽,但目前微博實時搜索仍能看見零星的“漏網之魚”。有網民對此表示震驚,形容數據泄漏如同“裸奔”,亦有網民認為,10億公民的個資隻求售10個比特幣,過於廉價,質疑真實性。
德國之聲尚無法核實該名黑客發布的文章內容真實性。截至周二(7月5日),上海市政府與公安局也並沒有回應包含路透社在內多家外媒的置評請求。目前,亦無法聯係到該名黑客。
《華爾街日報》與《衛報》嚐試通過已被曝光的電話號碼核實,結果顯示,部分嚐試聯係的號碼已經無效或不再使用,但部分民眾確認了他們的有關數據。
事件爆出後,許多中國網民形容數據外泄如同“裸奔”。中國官方尚未針對此事作出回應。
《華爾街日報》報道指出,這份由黑客發布的數據樣本包括了75萬條記錄,涵蓋個人姓名、身份證號碼、電話號碼、生日和出生地,以及向警方報告的犯罪和事件的詳細摘要。案件範圍最早可以追溯至1995年,最遲至2019年。通過這份數據樣本的曝光資料致電詢問後發現,有5人確認了與他們有關的所有數據,包括除警方外很難從任何渠道獲得的案件細節;另4人確認了基本信息,如他們的名字,然後便掛斷電話。
自由亞洲電台則引述一名據稱“了解此事件部分內情的網絡熱點事件關注者常先生”的說法。該報道稱,常先生向記者表示這起事件“大概率是去年泄露出去但現在被人拿出來賣,上海調查去年落馬的公安局局長龔道安(涉受賄案),可能有關,大概率是從阿裏雲泄露的,當時上海市公安局的存儲信息的供應商是阿裏雲,沒用騰訊。因為當時龔道安覺得阿裏雲比較好用。現在泄露出去的資料都是真實的。”
專家怎麽看?
上海國家警察數據庫疑有10億公民的數據遭到泄露,對此,總部位於北京的策緯諮詢公司(Trivium
China)科技政策研究主管薛佛(Kendra
Schaefer)在推特發文表示,很難從眾多謠傳消息中辨別真相。薛佛說,如果黑客聲稱手上握有的數據資料確實來自公安部,那麽“這將是史上最大和最糟糕的外泄事件之一。”
If you’re not
following this, you should be: word on the social media street is
that China’s police force (MPS – Shanghai) database was hacked,
with the personal information and case records of 1 billion
citizens, and the records are for sale on Telegram – 23TB of data.
1/7 https://t.co/a59KB8JBHF
— Kendra Schaefer 凱娜 (@kendraschaefer)
July 4, 2022
全球加密貨幣交易所幣安(Binance)的首席執行官趙長鵬周一(7月4日)表示,該交易所的威脅情報部門在偵測到有10億居民的紀錄在暗網待售後,已經加強了用戶驗證流程,並呼籲其他平台跟進加強安全措施。
Apparently, this
exploit happened because the gov developer wrote a tech blog on
CSDN and accidentally included the credentials.
1 billion records of private citizens’ data. https://t.co/vPISm534Tn pic.twitter.com/FpMCGrpx08
— CZ Binance (@cz_binance)
July 4, 2022
趙長鵬在推特寫道:“我們的威脅情報檢測到有10億居民的記錄在暗網出售,包括來自一個亞洲國家的居民姓名、地址、公民身份號碼、手機、警察和醫療記錄”。他稱,這可能是由於政府機構在Elastic
Search部署中的一個錯誤,才導致據數外流。
然而趙長鵬並沒有在推特上明言,所指是否為上海公安數據泄露的傳言,“一個亞洲國家”指的是否為中國。他也沒有立即回應路透社的置評請求。
澳大利亞的網絡安全顧問亨特 ( Troy Hunt )
則向《華爾街日報》表示,自己對黑客說法持謹慎態度。亨特表示,中國有14億人口,黑客聲稱取得的個資涉及10億人,該數據庫規模極為龐大,這引起了一些質疑。
亨特還說,雖然大多數黑客求售外泄數據都是基於經濟動機,但索要大筆資金的行為也增加了其說法被誇大或偽造的可能性。
《衛報》則引述威斯康星大學麥迪遜分校的資深學者易富賢的說法。易富賢稱,他下載了網絡上的樣本數據,發現了與他的家鄉湖南有關的信息。
易富賢表示:“這些數據幾乎包含了中國所有縣城的信息,我甚至發現了與西藏一個偏遠縣城有關的數據,那裏隻有幾千名居民。”
近年來,中國發生了多起數據泄露事件。2016
年,包括阿裏巴巴創始人馬雲在內的中國權勢人物的敏感信息,被曝光發布在推特上,引發軒然大波。
一係列數據外泄事件引發中國當局關注。去年,中國通過了一項新的法律,規定應如何處理在其境內產生的個人資訊和數據。