标签： 泄密

中国国安部通报前国家机关涉密人员泄密被判死刑

中国国家安全部今天通报，张某曾是某国家机关的核心涉密人员，工作中接触掌握大量国家秘密。张某虽多次接受保密教育，却对单位里“烦琐”的保密规定不以为意，在交换文件数据的过程中经常将单位的涉密U盘与个人U盘混用，在个人U盘中留存了大量的涉密文件资料。离职后，张某成为境外间谍情报机关拉拢策反的重要目标。张某向境外间谍情报机关提供了大量绝密级、机密级国家秘密。最终，张某被判处死刑，剥夺政治权利终身并处没收个人全部财产。

—— 央视新闻

WSJ：中国警方的数据库对外网开放访问了一年多，导致泄密

今年早些时候发现安全漏洞的网络安全专家说，这可能是历史上最大的个人数据盗窃案之一，也是中国最大的已知网络安全漏洞，因为一个常见的漏洞使数据在互联网上被公开。

据网络安全专家称，上海警方的记录包括近10亿中国公民的姓名、政府身份证号码、电话号码和事件报告，是安全存储的。但他们说，一个用于管理和访问数据的仪表板被设置在一个公共网站上，而且没有密码，这使得任何具有相对基本技术知识的人都可以随意进入，复制或窃取信息库。

暗网情报公司Shadowbyte的创始人Vinny Troia说：”他们将这么多数据暴露在外，这太疯狂了。”

网络安全研究公司SecurityDiscovery的老板鲍勃-迪亚琴科（Bob Diachenko）表示，该数据库从2021年4月到上个月中旬一直暴露在外面，当时其数据突然被清除，取而代之的是一张赎金字条，上海警方发现了这一点。

根据Diachenko先生提供的截图，”你的数据是安全的”，赎金字条上写道。”联系你的数据……恢复10btc”，意思是数据将以10个比特币，大约20万美元的价格被归还。

这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合，以换取对一个数据库的访问权，该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。

这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉，不仅是因为泄漏的规模，还因为政府数据库中的信息的敏感性。

上海市政府和中国网信办（该国的互联网监管机构）没有对评论请求作出回应。

网络安全专家拼凑出了数据库真实性的新证据，以及这么多私人信息如何落入网络犯罪分子手中的细节。

他们说，仪表盘就像一扇通向数据库的大门，即使在所有数据丢失后也没有关闭，直到这个漏洞开始得到公众的广泛关注。特罗亚先生说，窃取数据的人很可能是正在兜售数据的同一个实体。

他说：”很常见的是，如果赎金受害者不支付赎金，那么他们会试图在网上出售数据。”

无法确定该数据库被公开访问是偶然还是故意的，也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说，这种漏洞很常见，但他们都表示，发现如此规模的不安全数据库令他们感到震惊。

两人都说，他们也证实了匿名泄密者的说法，即它包括超过23兆字节的数据，涵盖多达10亿人。他们说，一个名为 “person_address_label_info_master “的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片，长度接近9.7亿行，这表明它包括同样多的人的详细信息，假设没有重复的条目。

该文件标记了有犯罪史的个人，包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 “应该被密切关注的人 “的标签，这是中国政府监控系统中经常使用的一种称呼，以表示被认为对社会秩序构成威胁的人。

数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。

—— 华尔街日报

中国电商平台大量泄密数据在TG贩售

淘宝、京东、拼多多用户数据疑似出现泄露，淘宝泄露源疑似为21年6月的淘宝11亿爬虫数据，京东与拼多多未知。（京东与拼多多用户名使用场景少，网络上找不到测试ID）

根据笔者测试，在网络上随机选取多个淘宝ID进行查询，均查询到了准确的个人信息，测试最早追溯可达2020，实际最新未知（估记最新到2021年6月左右）。预计数据量10亿+，查询一次价格约为29U。

此次泄露范围极广，大多数淘宝使用者均被命中，且此查询此信息的机器人目前已在telegram中部署完成，据发文前该机器人官方频道已有1127人关注，预计将大范围在telegram中传播。

此外机器人可以查询贴吧/QQ数据等数据，其中贴吧数据较新，与前几年高三学生跑出的贴吧数据不同，来源未知。

其他查询数据与目前已泄露数据无异。至于学信等信息未进行验证，数据量应该不大。

—— CN_Privacy

（为保护隐私以及防止诈骗，评论中禁止发布任何社工库机器人信息）