自上周末以来,网传上海公安有大批数据外泄,一名黑客声称取得了10亿中国公民的个资,喊价10个比特币出售。对此,中国官方迄今未辟谣或证实。若属实,恐将是史上最大规模的个资外流事件之一。
根据路透社报道,一名黑客上周声称从上海公安获得了10亿中国公民的大量个人信息。技术专家称,如果事件属实,这将是史上最大规模的数据泄露事件之一。
这位匿名为“ChinaDan”的黑客,上周在黑客论坛“突破论坛”(Breach Forums)发文称:“2022年,上海国家警察数据库(SHGA)被泄露了。这个数据库包含许多TB的数据和数十亿中国公民的信息。”
该文章续写道,数据库还包含几十亿的报警案件记录,“包括:姓名、地址、出生地、公民身份证号码、手机号码、所有犯罪案件细节。”
该名黑客提出以10个比特币的价格(相当于约20万美元),出售总共超过23TB的数据。
自上周末以来,有关话题在中国社交媒体网络被广泛讨论,许多民众担忧消息可能为真。随后,“数据泄露”的话题标签在周日(7月3日)下午遭微博屏蔽,但目前微博实时搜索仍能看见零星的“漏网之鱼”。有网民对此表示震惊,形容数据泄漏如同“裸奔”,亦有网民认为,10亿公民的个资只求售10个比特币,过于廉价,质疑真实性。
德国之声尚无法核实该名黑客发布的文章内容真实性。截至周二(7月5日),上海市政府与公安局也并没有回应包含路透社在内多家外媒的置评请求。目前,亦无法联系到该名黑客。
《华尔街日报》与《卫报》尝试通过已被曝光的电话号码核实,结果显示,部分尝试联系的号码已经无效或不再使用,但部分民众确认了他们的有关数据。
《华尔街日报》报道指出,这份由黑客发布的数据样本包括了75万条记录,涵盖个人姓名、身份证号码、电话号码、生日和出生地,以及向警方报告的犯罪和事件的详细摘要。案件范围最早可以追溯至1995年,最迟至2019年。通过这份数据样本的曝光资料致电询问后发现,有5人确认了与他们有关的所有数据,包括除警方外很难从任何渠道获得的案件细节;另4人确认了基本信息,如他们的名字,然后便挂断电话。
自由亚洲电台则引述一名据称“了解此事件部分内情的网络热点事件关注者常先生”的说法。该报道称,常先生向记者表示这起事件“大概率是去年泄露出去但现在被人拿出来卖,上海调查去年落马的公安局局长龚道安(涉受贿案),可能有关,大概率是从阿里云泄露的,当时上海市公安局的存储信息的供应商是阿里云,没用腾讯。因为当时龚道安觉得阿里云比较好用。现在泄露出去的资料都是真实的。”
专家怎么看?
上海国家警察数据库疑有10亿公民的数据遭到泄露,对此,总部位于北京的策纬谘询公司(Trivium China)科技政策研究主管薛佛(Kendra Schaefer)在推特发文表示,很难从众多谣传消息中辨别真相。薛佛说,如果黑客声称手上握有的数据资料确实来自公安部,那么“这将是史上最大和最糟糕的外泄事件之一。”
全球加密货币交易所币安(Binance)的首席执行官赵长鹏周一(7月4日)表示,该交易所的威胁情报部门在侦测到有10亿居民的纪录在暗网待售后,已经加强了用户验证流程,并呼吁其他平台跟进加强安全措施。
赵长鹏在推特写道:“我们的威胁情报检测到有10亿居民的记录在暗网出售,包括来自一个亚洲国家的居民姓名、地址、公民身份号码、手机、警察和医疗记录”。他称,这可能是由于政府机构在Elastic Search部署中的一个错误,才导致据数外流。
然而赵长鹏并没有在推特上明言,所指是否为上海公安数据泄露的传言,“一个亚洲国家”指的是否为中国。他也没有立即回应路透社的置评请求。
澳大利亚的网络安全顾问亨特(Troy Hunt)则向《华尔街日报》表示,自己对黑客说法持谨慎态度。亨特表示,中国有14亿人口,黑客声称取得的个资涉及10亿人,该数据库规模极为庞大,这引起了一些质疑。
亨特还说,虽然大多数黑客求售外泄数据都是基于经济动机,但索要大笔资金的行为也增加了其说法被夸大或伪造的可能性。
《卫报》则引述威斯康辛大学麦迪逊分校的资深学者易富贤的说法。易富贤称,他下载了网络上的样本数据,发现了与他的家乡湖南有关的信息。
易富贤表示:“这些数据几乎包含了中国所有县城的信息,我甚至发现了与西藏一个偏远县城有关的数据,那里只有几千名居民。”
近年来,中国发生了多起数据泄露事件。2016 年,包括阿裡巴巴创始人马云在内的中国权势人物的敏感信息,被曝光发布在推特上,引发轩然大波。
一系列数据外泄事件引发中国当局关注。去年,中国通过了一项新的法律,规定应如何处理在其境内产生的个人资讯和数据。