圆桌

黑客揭露中国大陆社交媒体信息被全面监控,自由聊天为何那么难?

早前揭露中国人脸识别公司数据泄漏的荷兰黑客 Victor Gevers 再次发推,指中国大陆微信、微博、QQ等6个社交媒体平台数据被实时监控,你怎么看?

有报导指出,中国大陆对社交媒体采取了一个全面监视系统,普通社交媒体用户的个人资料,聊天纪录及文件,都会被纪录并上传至数据库供警方监管。

有报导指出,中国大陆对社交媒体采取了一个全面监视系统,普通社交媒体用户的个人资料,聊天纪录及文件,都会被纪录并上传至数据库供警方监管。摄:Nicolas Asfouri/AFP/Getty Images

端小二2019-03-04 发起

早前揭露中国人脸识别公司数据泄漏的荷兰黑客 Victor Gevers 再次发推文,指中国大陆微信、微博、QQ等6个社交媒体平台数据被实时监控,你怎么看?

你在社交媒体上有被监控或被审查的经历吗?

聊天内容、违规信息与个人用户信息相匹配并被上传至公安数据库,侵犯个人隐私,还是“防患于未然”?

早前揭露中国人脸识别公司数据泄漏,并涉百万维吾尔人身份证号码、生日、位置与照片等个人重要信息的荷兰黑客,3月3日再次在其个人推特上发文,表示发现了中国一个对社交网络全面监视的数据系统。他称该系统监视了约6个社交媒体平台(包括微信,QQ,旺旺等)并纪录社交媒体用户的姓名、证件号码及照片、GPS位址、网络信息,包括用户在社交网络上的聊天纪录和聊天文件也都会被上传到一个大型网络数据库中。

这位推特帐户名为@OxDUDE 的黑客表示,每天约有3亿6千4百万份网络资料(包括个人信息及聊天内容)被监视纪录。之后这些信息则会与该用户的真实身份相匹配并被分发至各省市的公安部门。各个当地执法部门则通过这个“运营商数据库”调查2600-2900条相关信息及配置文件,每天命名新的表单进行追踪,以实现实时监控。

该黑客指他的这一发现来自于他从中国电信骨干网上进入了18个未加密的 MongoDB 数据库。据他的调查,数据库中大部分纪录都是普通用户的日常聊天,并且数据库中有非常清楚的警方归属标记。他用下图为例解释到,图片所示是一则报送至警方的信息,显示了触发事件的地点、信息截图时间及传送至的以数字标识的警察局。

注:MongoDB是一种文件导向的资料库管理系统,由C++语言撰写而成,以便解决为网络系统提供可扩展的高性能数据存储解决方案等现实问题。

图:Victor Gevers 推特

该黑客同时表示,具体聊天中出现哪些特定敏感词会引发人工审查目前尚不清楚。

该消息出现后,许多其他的“网络黑客”也开始关注这一事件。推特帐户为@olihough86 的用户发推指出数据纪录时间最早约在2018年年初,微信公众号文章及微博等相关信息共计约620GB的数据。

该消息目前还未得到任何官方认证。该黑客向中国方面表示了自己可以进入数据库并显示获得的聊天纪录截图,目前18个数据库的访问已被关闭。

这位推特账号为@OxDUDE 的黑客是一个原名 Victor Gevers 的荷兰人。2016年起他曾任职荷兰内政及王国关系部的创意总监。他于2015年和搭档 Tom Vincent 一起创办了一个名为GDI foundation (GDI基金会)的非营利组织,该组织的目标是维护网络安全,保障网络的自由及开放。

不同于传统意义上的黑客,Victor Gevers 并不以攻击网络漏洞或盗取信息牟利。他自称自己是一名“Ethic Hacker”,致力于帮助发现各个网站及数据库的系统漏洞,并将这些问题反映给有关人员以协助他们修复网站。在他的推文中他写道,一名“Ethic Hacker”在工作时一定要注意安全,不破坏任何东西(无论是心理,情感还是身体上),保持有趣并享受工作 。

事实上,这已不是 Victor Gevers 第一次因为网络漏洞进入中国数据库并揭露中国政府对普通民众的监视情况。

2019年2月13日,Victor Gevers 发推特称中国一个名为 SenseNets 深网视界的公司数据库可被任何人自由访问。该公司主要负责制作人工智能安全软件,包括人脸识别,人群分析,人证核验等等。据该公司官网显示,公司与连云港市公安局,上海市公安局等多个政府部门和公司合作。

他继续发推表示该数据库包含了超过250万份个人数据(身分证号码,护照照片,工作地点)。在24小时内,该数据库就纪录了约六百八十万份GPS位址数据。Victor 经选取数千条记录,发现其中99%都是穆斯林的姓名,因而认为这个不安全的数据库是中国政府为了追踪新疆维吾尔族穆斯林所建造。

Victor Gevers 曾对BBC中文表示,该公司数据自2018年7月就处于任何人都可以访问的状态。

中国国家互联网应急中心也在2月22日发布通报表示截止2月17日,中国境内互联网上使用 MongoDB 数据库服务的IP地址有约2.5万个,承认其中存在信息泄漏风险的IP地址有468个。

在这之后,Victor 继续就中国对新疆的监视系统发布了一系列推特,他于2月17日称在过去的17天中,就有超过8千6百万人被追踪,而一月被追踪的人数则高达3亿8千6百万人。他表示,这个数据库对任何在街道上移动的人都会保持追踪,随时纪录超速,乱穿马路等行为。

他还制作了一个显示该数据库内人口组成的图表。他紧接著还发布了一系列该数据库中的细节信息,例如有平均年龄32岁的约3百万维吾尔族女性和约42万平均年龄30岁的维吾尔族男性被追踪,而最小的信息则是关于一个刚出生9天,还没有身分证号码及国籍纪录的小孩。

然而,这些数据目前还未得到任何官方认证,数据库的访问亦已关闭。

图:Victor Gevers 推特

中国的监控系统长久以来都饱受关注并引发了许多争议。2018年3月端传媒也曾就深圳“智能行人闯红灯取证系统”发文,该系统透过人脸识别技术,利用安装在各个路口的摄像头,抓拍闯红灯的行人,公示违反交通规则的行人部分信息。

Victor 认为这一系统对操作人员的道德标准有很高要求。推特上其他用户对这一社交媒体全面监控系统也表示了许多不同意见,大多数用户称这是政府对个人隐私的侵犯。有评论感谢Victor揭露这一监视系统,也有人质疑此举会帮助政府修复漏洞,从而更好的监视民众。

你在社交媒体上有被监控或被审查的经历吗?

本刊载内容版权为端传媒或相关单位所有,未经端传媒编辑部授权,请勿转载或复制,否则即为侵权。