中國超過10億人個資遭駭,阿里雲資安漏洞恐難咎其責

 

一名自稱ChinaDan的駭客在駭客論壇「Breach Forums」上求售相關盜取資料,其中包含超過10億筆中國公民的個資,從上海國家警察數據庫上外洩。ChinaDan以10BTC(折合當時匯率,近600萬新台幣)出售該批個資,並開放75萬筆資料作為樣本供驗證以取信賣家。資料除包含基本個人資訊,還包括犯罪紀錄、出入境紀錄、網上購物、送貨紀錄等,時間涵蓋1995-2020年。

 

 

該駭客貼文的截圖在Telegram等網站已流傳數日,但在中國的微博和百度,「上海公安數據洩露」等相關關鍵詞,已經遭到屏蔽,WeChat亦移除許多報導和貼文。

(擷取自Breach Forums網站)

根據《華爾街日報》(The Wall Street Journal)的調查,根據駭客提供的75萬筆資料中去電詢問。一共有9人接通電話,其中4人的姓名等基本資料無誤,5人皆證實所有資料為真,包括各種犯罪、報案等紀錄。

 

網路媒體Vice亦撥了名單中的十幾位民眾,有三人證實資料無誤。

 

知名虛擬貨幣交易所幣安CEO趙飛鵬亦表示有人與暗網中出售10億人民的資料,一開始認為可能是政府機關部署Elasticsearch時所導入的臭蟲,之後則說應是政府開發者在CSDN撰寫科技部落格時,不小心外洩了憑證。

 

人權觀察組織(Human Rights Watch)的中國研究員王亞秋接受紐時訪問時指出,針對資料外洩事件,中國的法令中並沒有明確機制可以對政府單位究責;這次上海公安數據外流,也很可能變成上海警察自己調查自己。

 

據悉,上海公安局數據庫原是儲存於「阿里雲」雲端系統,但由於資安漏洞而外洩。阿里巴巴表示已知曉此事並正在調查。甚至有關高層已被上海當局約談,包括才上任不久,負責數字政府部公安業務線的副總裁陳雪松。據稱是因為一個被放在公開網域上的控制台竟然多以來未設密碼進行保護。

 

目前中國針對一切消息進行封鎖,社交媒體也將相關關鍵字進行屏蔽。外媒質疑,中國當局可能藉此緊縮對網路的監管。CNBC記者:「中國當局可以利用這件事蹟,對人民聲稱,他們介入是為了社會利益,並藉機加深對網路安全和網路空間的控制。」但是已有資料遭到外流,對於中國民眾來說,生活將無可避免地受到影響。