圓桌

黑客揭露中國大陸社交媒體信息被全面監控,自由聊天為何那麼難?

早前揭露中國人臉識別公司數據洩漏的荷蘭黑客 Victor Gevers 再次發推,指中國大陸微信、微博、QQ等6個社交媒體平台數據被實時監控,你怎麼看?

有報導指出,中國大陸對社交媒體採取了一個全面監視系統,普通社交媒體用戶的個人資料,聊天紀錄及文件,都會被紀錄並上傳至數據庫供警方監管。

有報導指出,中國大陸對社交媒體採取了一個全面監視系統,普通社交媒體用戶的個人資料,聊天紀錄及文件,都會被紀錄並上傳至數據庫供警方監管。攝:Nicolas Asfouri/AFP/Getty Images

端小二2019-03-04 發起

早前揭露中國人臉識別公司數據洩漏的荷蘭黑客 Victor Gevers 再次發推文,指中國大陸微信、微博、QQ等6個社交媒體平台數據被實時監控,你怎麼看?

你在社交媒體上有被監控或被審查的經歷嗎?

聊天內容、違規信息與個人用戶信息相匹配並被上傳至公安數據庫,侵犯個人隱私,還是「防患於未然」?

早前揭露中國人臉識別公司數據洩漏,並涉百萬維吾爾人身份證號碼、生日、位置與照片等個人重要信息的荷蘭黑客,3月3日再次在其個人推特上發文,表示發現了中國一個對社交網絡全面監視的數據系統。他稱該系統監視了約6個社交媒體平台(包括微信,QQ,旺旺等)並紀錄社交媒體用戶的姓名、證件號碼及照片、GPS位址、網絡信息,包括用戶在社交網絡上的聊天紀錄和聊天文件也都會被上傳到一個大型網絡數據庫中。

這位推特帳戶名為@OxDUDE 的黑客表示,每天約有3億6千4百萬份網絡資料(包括個人信息及聊天內容)被監視紀錄。之後這些信息則會與該用戶的真實身份相匹配並被分發至各省市的公安部門。各個當地執法部門則通過這個「運營商數據庫」調查2600-2900條相關信息及配置文件,每天命名新的表單進行追踪,以實現實時監控。

該黑客指他的這一發現來自於他從中國電信骨幹網上進入了18個未加密的 MongoDB 數據庫。據他的調查,數據庫中大部分紀錄都是普通用戶的日常聊天,並且數據庫中有非常清楚的警方歸屬標記。他用下圖為例解釋到,圖片所示是一則報送至警方的信息,顯示了觸發事件的地點、信息截圖時間及傳送至的以數字標識的警察局。

註:MongoDB是一種文件導向的資料庫管理系統,由C++語言撰寫而成,以便解決為網絡系統提供可擴展的高性能數據存儲解決方案等現實問題。

圖:Victor Gevers 推特

該黑客同時表示,具體聊天中出現哪些特定敏感詞會引發人工審查目前尚不清楚。

該消息出現後,許多其他的「網絡黑客」也開始關注這一事件。推特帳戶為@olihough86 的用戶發推指出數據紀錄時間最早約在2018年年初,微信公眾號文章及微博等相關訊息共計約620GB的數據。

該消息目前還未得到任何官方認證。該黑客向中國方面表示了自己可以進入數據庫並顯示獲得的聊天紀錄截圖,目前18個數據庫的訪問已被關閉。

這位推特賬號為@OxDUDE 的黑客是一個原名 Victor Gevers 的荷蘭人。2016年起他曾任職荷蘭内政及王國關係部的創意總監。他於2015年和搭檔 Tom Vincent 一起創辦了一個名為GDI foundation (GDI基金會)的非營利組織,該組織的目標是維護網絡安全,保障網絡的自由及開放。

不同於傳統意義上的黑客,Victor Gevers 並不以攻擊網絡漏洞或盜取信息牟利。他自稱自己是一名「Ethic Hacker」,致力於幫助發現各個網站及數據庫的系統漏洞,並將這些問題反映給有關人員以協助他們修復網站。在他的推文中他寫道,一名「Ethic Hacker」在工作時一定要注意安全,不破壞任何東西(無論是心理,情感還是身體上),保持有趣並享受工作 。

事實上,這已不是 Victor Gevers 第一次因為網絡漏洞進入中國數據庫並揭露中國政府對普通民眾的監視情況。

2019年2月13日,Victor Gevers 發推特稱中國一個名為 SenseNets 深網視界的公司數據庫可被任何人自由訪問。該公司主要負責製作人工智能安全軟件,包括人臉識別,人群分析,人證核驗等等。據該公司官網顯示,公司與連雲港市公安局,上海市公安局等多個政府部門和公司合作。

他繼續發推表示該數據庫包含了超過250萬份個人數據(身分證號碼,護照照片,工作地點)。在24小時內,該數據庫就紀錄了約六百八十萬份GPS位址數據。Victor 經選取數千條記錄,發現其中99%都是穆斯林的姓名,因而認為這個不安全的數據庫是中國政府為了追蹤新疆維吾爾族穆斯林所建造。

Victor Gevers 曾對BBC中文表示,該公司數據自2018年7月就處於任何人都可以訪問的狀態。

中國國家互聯網應急中心也在2月22日發布通報表示截止2月17日,中國境内互聯網上使用 MongoDB 數據庫服務的IP地址有約2.5萬個,承認其中存在信息洩漏風險的IP地址有468個。

在這之後,Victor 繼續就中國對新疆的監視系統發布了一系列推特,他於2月17日稱在過去的17天中,就有超過8千6百萬人被追蹤,而一月被追蹤的人數則高達3億8千6百萬人。他表示,這個數據庫對任何在街道上移動的人都會保持追蹤,隨時紀錄超速,亂穿馬路等行為。

他還製作了一個顯示該數據庫內人口組成的圖表。他緊接著還發布了一系列該數據庫中的細節信息,例如有平均年齡32歲的約3百萬維吾爾族女性和約42萬平均年齡30歲的維吾爾族男性被追蹤,而最小的信息則是關於一個剛出生9天,還沒有身分證號碼及國籍紀錄的小孩。

然而,這些數據目前還未得到任何官方認證,數據庫的訪問亦已關閉。

圖:Victor Gevers 推特

中國的監控系統長久以來都飽受關注並引發了許多爭議。2018年3月端傳媒也曾就深圳「智能行人闖紅燈取證系統」發文,該系統透過人臉識別技術,利用安裝在各個路口的攝像頭,抓拍闖紅燈的行人,公示違反交通規則的行人部分信息。

Victor 認為這一系統對操作人員的道德標準有很高要求。推特上其他用戶對這一社交媒體全面監控系統也表示了許多不同意見,大多數用戶稱這是政府對個人隱私的侵犯。有評論感謝Victor揭露這一監視系統,也有人質疑此舉會幫助政府修復漏洞,從而更好的監視民眾。

你在社交媒體上有被監控或被審查的經歷嗎?

本刊載內容版權為端傳媒或相關單位所有,未經端傳媒編輯部授權,請勿轉載或複製,否則即為侵權。