一個龐大的在線數據庫,包含了多達10億中國公民的個人資料,在一年多時間裏竟然沒有系統安全保護,可以被公開訪問,直到上周一個黑客論壇的匿名用戶提出要出售這個數據庫裏的訊息,從而引起極大的關注。

美國有線電視網CNN報道,網絡安全專家說,這次私人資料洩漏可能是有史以來最大的洩密之一,它凸顯了在網上收集和存儲大量敏感個人資料數據的風險,尤其是在一個當局可以任意廣泛及不受檢查和限制地獲取這些數據的國家。

發現大量中國個人數據的網站LeakIX稱,至少從2021年4月開始,這個含有大量中國人個人資料的數據庫就可以通過一個看似不安全的後門超連結公開訪問,這是一個快捷的網址,可以讓任何知道它的人無限制地訪問。

一個匿名用戶上周四在一個黑客論壇上發布廣告,願意將超過23TB的數據以10比特幣(約合20萬美元)的價格出售,此後對該數據庫的訪問被關閉,此前無需密碼即可訪問。

該匿名用戶聲稱,該數據庫是由上海公安系統收集和管理的,包含了10億中國人的敏感訊息,包括他們的姓名、地址、手機號碼、身份證號碼、年齡和出生地,以及數十億次向警方報告民事糾紛和犯罪的電話紀錄。

出售數據庫的帖子中包含了該數據庫三個主要索引結果的75萬條數據樣本。

賣家還聲稱,這個不安全的數據庫是由中國電子商務巨頭阿里巴巴旗下的阿里雲端服務託管的。

有問題的是數據所有者 而不是數據庫託管公司的錯

CNN採訪的專家表示,有問題的是數據的所有者,而不是數據庫託管公司的錯。

微軟駐澳洲區域總監特洛伊亨特(Troy Hunt)對CNN說:「就目前的情況來看,我相信這將是迄今為止最大的公共訊息洩漏事件。當然,數據庫覆蓋了中國的大部份人口,洩密的影響也就比較廣範。」

中國有14億人口,這意味著數據洩漏可能會影響多達70%以上的人口。「這有點像妖怪無法回到瓶子裏的情況一樣。」亨特說,「一旦數據以現在的這種形式出現在網絡上,就無法再縮回去了。」

數據庫在2021年4月開放 任何人都可以下載

目前還不清楚在數據庫被公開放在網上的長達14個月裏,有多少人曾經訪問過它,或下載過該數據庫。兩位接受CNN採訪的西方網絡安全專家表示,在上周該數據庫被推到公眾之前,他們都知道該數據庫的存在和其公開性,並表示只要知道去哪裏找,就可以輕易發現它的存在。

網絡安全研究員、暗網情報公司Shadowbyte的創始人文尼特羅亞(Vinny Troia)對CNN說,他第一次發現這個數據庫是在「一月份左右」,當時他正在網上搜索開放的數據庫。

「我發現數據庫的網站是公開的,任何人(都可以)訪問它,你所要做的就是註冊一個帳戶。」特羅亞說。

「由於它是在2021年4月開放的,任何人都可以下載這些數據。」他補充說。

特羅亞說,他下載了該數據庫的一個主要索引數據結果,其中包含近9.7億中國公民的訊息。他說,但很難判斷公開的訪問權限是數據庫管理的疏忽,還是有意為之,旨在讓少數人可以訪問。

「要麼他們忘記了,要麼他們故意讓它公開,因為這對他們來說更容易獲取數據。」特羅亞指的是負責該數據庫的當局,「我不知道他們為甚麼會這樣,這看起來非常不小心。」

數據庫遭洩漏 或導致有人被敲詐勒索

據路透社報道,2019年,荷蘭網絡安全研究員維克多格維爾斯(Victor Gevers)發現了一個在線數據庫,其中包含中國遠郊新疆地區250多萬人的姓名、國民身份證號碼、出生日期和位置數據,而中國公司SenseNets Technology在數月內沒有對其設置安全防護。

但網絡安全研究人員說,最新的上海數據庫洩漏事件特別令人擔憂,不僅因為其空前的數據量,而且還因為其所含信息的高敏感度。

CNN對數據庫樣本的分析發現,警方記錄的案件從2001年到2019年,時間跨度近20年。雖然大多數案件紀錄是民事糾紛,但也包含從欺詐到強姦的刑事案件紀錄。

在一個案件中,一名上海居民於2018年被警方傳喚,原因是他使用虛擬專用網絡(VPN)逃避中共防火牆並訪問推特,據稱轉發了「涉及(共產)黨、政治和領導人的反動言論」。

「這些紀錄當中可能包括家庭暴力、虐待兒童和各種事情,對我來說,這更令人擔憂。」微軟區域主管亨特說。

「這可能會導致(記錄相關人員被)敲詐勒索嗎?我們經常看到數據洩漏後對個人的勒索,黑客甚至可能嘗試要求個人繳納贖金。」

中共《個人資料保護法》無法規範中共專政

去年,北京通過了第一部《個人資料保護法》,對如何收集、使用和儲存個人數據訊息制定了基本規則。但專家們擔心,雖然該法可以規範技術公司,但當法規面對中共專政時,執行起來可能很困難。

烏克蘭的安全研究員鮑勃迪亞琴科(Bob Diachenko)於4月首次接觸到該數據庫。迪亞琴科說,6月中旬,他的公司檢測到該數據庫被一個無名的惡意黑客攻擊,該黑客複製並破壞了數據庫,並留下一張贖金帖子,要求用10比特幣來修復數據庫。

目前還不清楚和上周傳出要出售數據庫數據訊息的人是不是同一個人。

據迪亞琴科說,到7月1日,贖金字條已經消失,但只有7千兆字節(7GB)的數據可用,而不是最初宣傳的23太字節(23TB)。

迪亞琴科說,這表明贖金問題可能已經解決,但數據庫所有者繼續使用暴露的數據庫進行存儲,直到上周末被關閉。

上海警方沒有回應美國有線電視新聞網對贖金字條的評論請求。#

------------------
請訂閱新官方YouTube頻道:
https://bit.ly/2XxPrsd

✅立即支持訂閱:
https://hk.epochtimes.com/subscribe
✅直接贊助大紀元:
https://www.epochtimeshk.org/sponsors
✅成為我們的Patron:
https://www.patreon.com/epochtimeshk

------------------

📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column