WSJ:中国警方的数据库对外网开放访问了一年多,导致泄密
今年早些时候发现安全漏洞的网络安全专家说,这可能是历史上最大的个人数据盗窃案之一,也是中国最大的已知网络安全漏洞,因为一个常见的漏洞使数据在互联网上被公开。
据网络安全专家称,上海警方的记录包括近10亿中国公民的姓名、政府身份证号码、电话号码和事件报告,是安全存储的。但他们说,一个用于管理和访问数据的仪表板被设置在一个公共网站上,而且没有密码,这使得任何具有相对基本技术知识的人都可以随意进入,复制或窃取信息库。
暗网情报公司Shadowbyte的创始人Vinny Troia说:”他们将这么多数据暴露在外,这太疯狂了。”
网络安全研究公司SecurityDiscovery的老板鲍勃-迪亚琴科(Bob Diachenko)表示,该数据库从2021年4月到上个月中旬一直暴露在外面,当时其数据突然被清除,取而代之的是一张赎金字条,上海警方发现了这一点。
根据Diachenko先生提供的截图,”你的数据是安全的”,赎金字条上写道。”联系你的数据……恢复10btc”,意思是数据将以10个比特币,大约20万美元的价格被归还。
这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合,以换取对一个数据库的访问权,该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。
这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉,不仅是因为泄漏的规模,还因为政府数据库中的信息的敏感性。
上海市政府和中国网信办(该国的互联网监管机构)没有对评论请求作出回应。
网络安全专家拼凑出了数据库真实性的新证据,以及这么多私人信息如何落入网络犯罪分子手中的细节。
他们说,仪表盘就像一扇通向数据库的大门,即使在所有数据丢失后也没有关闭,直到这个漏洞开始得到公众的广泛关注。特罗亚先生说,窃取数据的人很可能是正在兜售数据的同一个实体。
他说:”很常见的是,如果赎金受害者不支付赎金,那么他们会试图在网上出售数据。”
无法确定该数据库被公开访问是偶然还是故意的,也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说,这种漏洞很常见,但他们都表示,发现如此规模的不安全数据库令他们感到震惊。
两人都说,他们也证实了匿名泄密者的说法,即它包括超过23兆字节的数据,涵盖多达10亿人。他们说,一个名为 “person_address_label_info_master “的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片,长度接近9.7亿行,这表明它包括同样多的人的详细信息,假设没有重复的条目。
该文件标记了有犯罪史的个人,包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 “应该被密切关注的人 “的标签,这是中国政府监控系统中经常使用的一种称呼,以表示被认为对社会秩序构成威胁的人。
数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。
—— 华尔街日报