上海個資外洩 或因公安內部出包
【大紀元2022年07月06日訊】(大紀元記者林燕綜合報導)上海警方數據庫超過10億人數據被洩露事件震驚全球網絡安全界,這些敏感文件因何被洩漏,各種猜測都有。最新說法是公安內部不當操作所致。
到週二為止,多家美國媒體對部分洩漏訊息進行了核實,證實其中一些訊息是真的,但非全部。賣家在論壇上發布的數據樣本中包含的被記錄者的個人訊息之詳細以及細節令人不寒而慄,比如:數據庫還有被紀錄者的快遞和食品訂單細節的文字記錄。
彭博社週二(7月5日)的專欄文章說,可能是因為中共公安內部馬虎、不當操作導致的,而非駭客攻擊洩漏的。
彭博社分析說,賣家對這個包含幾十億條案件紀錄的數據庫要價僅10個比特幣(20.2萬美元),這表明賣家是偶然發現這些數據的人,是機會主義者,而不是受金錢驅使的專業駭客。
他們表示,數據可能是上海警方將全國各地的多個來源進行了編製,這些數據已經超出了執法部門通常收集的第一手資料範圍。
上海政府沒有公開回應數據洩露事件。上海市警方和網信辦也沒有回應媒體的評論請求。
通常,駭客試圖滲透計算機系統時,可能使用惡意軟件和網絡釣魚攻擊,這次上海警方的漏洞似乎簡單得多。
彭博社說,根據公共論壇和社交媒體上發布的數據,以及熟悉此事但沒有直接參與的人士之間的討論,疑似此事最早源於一名軟件開發人員在一個在線代碼庫或部落格文章中留下了一個訪問密鑰。這把密鑰類似於密碼,但功能與密碼不同。
有了這把密鑰,再加上對數據庫建立方式的基本了解,就可以進入系統,這次的訊息很可能是通過訪問一臺配置不良的服務器提取的。
「網陸安全界的共識傾向於這不是一次駭客攻擊,而是一個馬虎和不良安全做法的例子,儘管獲取數據的確切方法尚未得到證實。」該分析說。
專家:警方洩露說明存重大網路安全事故華盛頓研究機構中東研究所(Middle East Institute)非常駐研究員克洛伊·蒂文(Chloe Teevan)推文說:「如果是真的,這對數據被洩露的中國公民來說是很糟糕的,但對中國(中共當局)的數字聲譽來說也不是好事。
「其他地方也有過重大的網絡攻擊,但(上海數據洩漏的)這種規模以及洩漏源來自警方則是一個重大的網路安全事故。」
據悉,遭洩漏的10億人數據庫由上海警方運行,託管在阿里巴巴控股集團有限公司的阿里雲服務器上。阿里巴巴是中國第一家進軍雲計算領域的技術提供商,也是中國最大的雲提供商。
這可能是有史以來最大的洩露事件之一,特別是考慮到所含訊息的詳細程度。但是,這些數據將給調查人員提供一個很好的研究中國社會的機會,觀察中共收集數據的框架以及如何利用訊息來監視和管控老百姓。
之前,澳大利亞戰略政策研究所和美國媒體Intercept合作,對中共警方的一個數據庫洩漏進行研究後發現,北京是如何監控新疆維吾爾族人。
中共急忙刪帖 科企無動力報告漏洞在洩漏事件發生後,中共國內媒體集體噤聲,社交媒體平臺也在快速刪帖。
《華爾街日報》說,如此大規模的數據洩露在中國會尤其敏感。中國黑市資料經紀商一度大肆販賣個人訊息。過去幾年,儘管北京不斷加大對個人訊息的保護力度,甚至在2021年通過《個人信息保護法》,也是因為數據洩露程度令人忍無可忍,民眾怨聲載道。
但是這些行動只針對企業,卻為黨國政府以所謂的「國家安全」名義收集信息留下了廣泛餘地。
駐澳大利亞的網路安全顧問亨特(Troy Hunt)告訴《華日》,這次洩露事件突顯出,對於防止公民數據被駭客攻擊並發布到網上供人訪問,中共龐大的互聯網過濾系統——防火牆幾乎無計可施。
2021年9月,中共還推出了《數據安全法》,對重要領域的國內外企業數據強化監管,同時要求企業發現自身網路安全漏洞時立刻向北京匯報。
同年11月,阿里雲的一名研究人員發現了一個全球性軟件漏洞,並向一個開源軟件基金會做出提醒。隨後,中共當局以阿里雲未及時向他們報告軟件漏洞為由,勒令阿里雲整改6個月。
原華為南京研究所工程師金淳接受《大紀元》採訪時表示,對本次洩漏時間來說,極有可能是技術人員發現漏洞不及時修復,也不及時上報,消極怠工。
他說,在上海「疫情都忙不過來了,還管那個網路漏洞幹啥?」
曾在華為從事華為雲系統漏洞的測試工作的金淳說,中共的所謂網路安全,表面上固若金湯,實際漏洞百出。「上海公安的系統,甚至都不如華為的雲系統安全。更有可能被攻破。」他說。
責任編輯:葉紫微#