本文原刊于《华尔街日报》,端传媒获授权转载。目前,《华尔街日报》中文版全部内容仅向付费会员开放,我们强烈推荐您购买/升级成为“端传媒尊享会员”,以低于原价 70% 的价格,畅读端传媒和《华尔街日报》全部内容。
一个匿名骇客或骇客组织正出售据称从警方数据库窃取的海量中国公民数据,其中一些数据经核实是真实的。如果此事得到证实,将是有史以来最大的个人数据泄露事件之一。
该骇客上周四在一个高人气网络犯罪论坛上发帖,将相关数据待售一事广而告之,据这则帖子,该数据缓存据称包括数十亿条窃取自上海警方的记录,含有涉及10亿中国公民的数据。这则帖子从上周末开始在社交媒体上流传,给泄露出来的相关数据定价10比特币(约合20万美元)。
网络安全专家表示,骇客声称的此番攻击令人震惊,不仅因其所称的规模之大(若确有其事,这将是有记录以来规模最大的骇客攻击之一,也是中国遭遇的最大规模已知骇客攻击),还因为该政府数据库所含资讯的敏感性。
上述骇客发布了一份据其所说包括75万条记录的数据样本,内含个人的姓名、身份证号码、电话号码、生日和出生地,以及详细的警情资讯。其中既涉及小偷小摸、网络欺诈等案件,也有家暴报警记录之类,最早的案子可追溯到1995年,最近的则是2019年。
虽然数据泄露的范围仍未得到证实,但记者按照泄露记录中所列号码打电话,核实了其中一些资讯的真实性。有五个人证实了所有被泄数据,其中包括很难从警方以外的其他渠道获得的报案细节。还有四个人在确认了名字等基本资讯是真的后就挂断了电话。
一位女士被泄露资讯的准确性惊呆了,询问有关她的资讯是否来自于她被偷的iPhone,她在2016年曾就此事报过案。
另一位姓Wei的男士在听说自己的个人资讯被泄露后叹了一口气,说大家都在裸奔——这是中国的流行俚语,表示缺乏私隐。根据骇客公布的案件记录,Wei当初被网络骗子忽悠加入了一个投资计划,被骗了人民币3万元。
不过,网络安全专家仍持谨慎看法,并不完全相信骇客的所有说法。
驻澳大利亚的网络安全顾问Troy Hunt说,该数据库的庞大规模(会涵盖中国14亿人口中的大多数)引起了一些怀疑,发帖用户的匿名属性也令人生疑。
Hunt表示,虽然大多数骇客是受经济动机驱使,但索要大笔钱财的行为也增加了上述说法被夸大或作假的可能性。
记者尝试拨打的其中几个电话号码要么无效,要么不再使用。在中国,手机用户每隔几年就更换号码的情况并不少见。
上海市警方和宣传部门以及中国互联网监管机构没有回复记者的置评请求。
在上述数据库被公开出售的论坛上,骇客或骇客组织声称此次攻击的目标是阿里巴巴集团控股有限公司(Alibaba Group Holding Limited, 9988.HK, BABA, 简称:阿里巴巴)旗下云计算子公司阿里云(Aliyun),他们称上海警方的数据库就被托管在阿里云平台上。
阿里巴巴表示,已知晓此事,正在进行调查。
加密货币交易所币安(Binance)首席执行官赵长鹏周一发推文称,该公司曾检测到上述骇客入侵,并加强了对可能受影响的用户的验证。币安没有回复记者的置评请求。
近年来,全球数据泄露问题相当严重。根据网络安全公司Risk Based Security的数据,2021年共有4,145起公开披露的泄露事件,总计有超过220亿份记录泄露。
不过,如此大规模的数据泄露在中国会尤其敏感。中国黑市数据经纪商一度大肆贩卖个人资讯。过去几年,中国政府加大了对个人资讯的保护力度,在2021年通过了《个人资讯保护法》(Personal Information Protection Law),一定程度上是因为数据泄露的程度已令人忍无可忍,民众怨声载道。
然而,这些行动专门针对企业,为政府出于国家安全考虑收集资讯留下了广泛余地。
网络安全专家表示,这样的泄露可能会对受影响个人造成持久和不可预测的后果。
“想从互联网上删除你的资讯,就好比想从泳池里清除尿液一样,”Hunt表示。“这些资讯只是进入了一个由已曝光数据集合成的大熔炉,你不知道各条资讯分别来自哪里。”
Hunt还称,这次泄露事件凸显出,对于防止公民数据被骇客攻击并发布到网上供人访问,中国庞大的互联网过滤系统几乎无计可施。这一过滤系统通常被称为“防火墙”(Great Firewall)
他称:“尽管中国尽了最大努力,但互联网真的没有边界。”
英文原文:Vast Cache of Chinese Police Files Offered for Sale in Alleged Hack]2