本文原刊於《華爾街日報》,端傳媒獲授權轉載。目前,《華爾街日報》中文版全部內容僅向付費會員開放,我們強烈推薦您購買/升級成為「端傳媒尊享會員」,以低於原價 70% 的價格,暢讀端傳媒和《華爾街日報》全部內容。
一個匿名駭客或駭客組織正出售據稱從警方數據庫竊取的海量中國公民數據,其中一些數據經核實是真實的。如果此事得到證實,將是有史以來最大的個人數據泄露事件之一。
該駭客上周四在一個高人氣網絡犯罪論壇上發帖,將相關數據待售一事廣而告之,據這則帖子,該數據緩存據稱包括數十億條竊取自上海警方的記錄,含有涉及10億中國公民的數據。這則帖子從上周末開始在社交媒體上流傳,給泄露出來的相關數據定價10比特幣(約合20萬美元)。
網絡安全專家表示,駭客聲稱的此番攻擊令人震驚,不僅因其所稱的規模之大(若確有其事,這將是有記錄以來規模最大的駭客攻擊之一,也是中國遭遇的最大規模已知駭客攻擊),還因為該政府數據庫所含資訊的敏感性。
上述駭客發布了一份據其所說包括75萬條記錄的數據樣本,內含個人的姓名、身份證號碼、電話號碼、生日和出生地,以及詳細的警情資訊。其中既涉及小偷小摸、網絡欺詐等案件,也有家暴報警記錄之類,最早的案子可追溯到1995年,最近的則是2019年。
雖然數據泄露的範圍仍未得到證實,但記者按照泄露記錄中所列號碼打電話,核實了其中一些資訊的真實性。有五個人證實了所有被泄數據,其中包括很難從警方以外的其他渠道獲得的報案細節。還有四個人在確認了名字等基本資訊是真的後就掛斷了電話。
一位女士被泄露資訊的準確性驚呆了,詢問有關她的資訊是否來自於她被偷的iPhone,她在2016年曾就此事報過案。
另一位姓Wei的男士在聽說自己的個人資訊被泄露後嘆了一口氣,說大家都在裸奔——這是中國的流行俚語,表示缺乏私隱。根據駭客公布的案件記錄,Wei當初被網絡騙子忽悠加入了一個投資計劃,被騙了人民幣3萬元。
不過,網絡安全專家仍持謹慎看法,並不完全相信駭客的所有說法。
駐澳洲的網絡安全顧問Troy Hunt說,該數據庫的龐大規模(會涵蓋中國14億人口中的大多數)引起了一些懷疑,發帖用戶的匿名屬性也令人生疑。
Hunt表示,雖然大多數駭客是受經濟動機驅使,但索要大筆錢財的行為也增加了上述說法被誇大或作假的可能性。
記者嘗試撥打的其中幾個電話號碼要麼無效,要麼不再使用。在中國,手機用戶每隔幾年就更換號碼的情況並不少見。
上海市警方和宣傳部門以及中國互聯網監管機構沒有回覆記者的置評請求。
在上述數據庫被公開出售的論壇上,駭客或駭客組織聲稱此次攻擊的目標是阿里巴巴集團控股有限公司(Alibaba Group Holding Limited, 9988.HK, BABA, 簡稱:阿里巴巴)旗下雲計算子公司阿里雲(Aliyun),他們稱上海警方的數據庫就被託管在阿里雲平台上。
阿里巴巴表示,已知曉此事,正在進行調查。
加密貨幣交易所幣安(Binance)首席執行官趙長鵬周一發推文稱,該公司曾檢測到上述駭客入侵,並加強了對可能受影響的用戶的驗證。幣安沒有回覆記者的置評請求。
近年來,全球數據泄露問題相當嚴重。根據網絡安全公司Risk Based Security的數據,2021年共有4,145起公開披露的泄露事件,總計有超過220億份記錄泄露。
不過,如此大規模的數據泄露在中國會尤其敏感。中國黑市數據經紀商一度大肆販賣個人資訊。過去幾年,中國政府加大了對個人資訊的保護力度,在2021年通過了《個人資訊保護法》(Personal Information Protection Law),一定程度上是因為數據泄露的程度已令人忍無可忍,民眾怨聲載道。
然而,這些行動專門針對企業,為政府出於國家安全考慮收集資訊留下了廣泛餘地。
網絡安全專家表示,這樣的泄露可能會對受影響個人造成持久和不可預測的後果。
「想從互聯網上刪除你的資訊,就好比想從泳池裡清除尿液一樣,」Hunt表示。「這些資訊只是進入了一個由已曝光數據集合成的大熔爐,你不知道各條資訊分別來自哪裡。」
Hunt還稱,這次泄露事件凸顯出,對於防止公民數據被駭客攻擊併發布到網上供人訪問,中國龐大的互聯網過濾系統幾乎無計可施。這一過濾系統通常被稱為「防火牆」(Great Firewall)
他稱:「儘管中國盡了最大努力,但互聯網真的沒有邊界。」
英文原文:Vast Cache of Chinese Police Files Offered for Sale in Alleged Hack]2