規模最大！中國爆40億筆個資外洩

中國近期又發生大規模用戶個資外洩事件，有高達40億筆用戶資料被洩露，內容包括微信、支付寶、住址等敏感資訊，其中還有一個疑似與台灣有關的資料集。本次事件也是迄今為止發現的最大規模中國個資單一來源外洩事件。事發至今已3個禮拜，但中共當局仍對此噤聲。

根據外媒「Cybernews」報導，一個存有高達40億筆資料、容量達631GB的中國資料庫，在5月19日發生資料外洩，內容包含用戶的財務資料、微信和支付寶等詳細的敏感資訊。由網路安全專家兼SecurityDiscovery.com網站所有者迪亞琴科（Bob Dyachenko）與Cybernews團隊發現。

研究團隊認為，這個資料庫經過精心的收集和維護，檔案中幾乎是包含了所有中國公民的行為、經濟和社會活動，民眾的微信紀錄以及支付寶資料，全都攤在陽光下。顯示這很可能是一個「集中式數據匯集點」，可能用於監控、分析或收集資料等目的。

居住資料、支付卡號
姓名和電話號碼全曝光

團隊調閱外流的16個資料集中，最大的資料集「wechatid_db」，包含超過8.05億筆紀錄，這很可能是騰訊旗下通訊軟體「微信」用戶的資料。

第二大資料集「address_db」擁有超過7.8億筆紀錄，內容包含帶有地理識別碼的居住資料。第三大資料集「bank」則擁有超過6.3億筆金融資料紀錄，內容包括支付卡號、出生日期、姓名和電話號碼。

團隊認為，僅掌握這三個資料集，就能讓熟練的攻擊者連結不同的數據點，以找出某些用戶的居住地以及他們的消費習慣、債務和儲蓄。

該資料庫中，還有一個以普通話命名的資料集，大致翻譯為「三因素檢查」，內容有超過6.1億筆紀錄，很可能包含ID、電話號碼和使用者名稱。

同時，一個名為「wechatinfo」的資料集包含近5.77億筆紀錄，由於微信用戶ID儲存在單獨的資料集中，因此「wechatinfo」很可能包含通訊日誌，甚至用戶對話。

研究人員表示，還有3億筆紀錄儲存在名為「zfbkt_db」的資料集中，其中包含支付寶卡和令牌（token）資訊。攻擊者可能試圖啟用未經授權的付款、接管帳戶並竊取用戶身分。再加上此外洩的較小資料集，其中包含2千萬筆與支付寶相關的財務資料紀錄，這對資料外洩的用戶來說可能意味著災難。

資料所有者不詳
受害者恐求助無門

此外，還有超過3.53億筆紀錄，分布在其他9個資料集中，涵蓋的主題非常廣泛，包括用戶的賭博、車輛登記、就業資訊、退休金和保險等資訊。

值得注意的是，資料庫中還有一個名為「tw_db」的資料集，內容包含與台灣相關的資訊。

研究團隊指出，這次的洩露很快就被發現，內容馬上被刪除，團隊無法確定資料屬於任何可識別的組織。但團隊指出，要收集和維護這麼大規模的資料庫，通常只有駭客、政府或研究人員才做得到。

團隊也說，由於資料所有者匿名與缺乏通知的渠道，可能會導致本次受到洩露事件影響的人，無法直接尋求幫助。

事實上，這並不是中國資料庫第一次發生大規模外洩。2022年，中共上海公安局就疑似發生10億筆居民資訊和幾十億筆疫情數據遭到洩露。而如今又有一波更大的外洩事件，中共當局依然沒有對此回應。◇