一名駭客近日宣稱獲取了中國上海公安系統逾23TB資料量的10億中國公民的戶籍、身份證等個人敏感資訊,以及數十億條報警記錄等資料,並以10個比特幣,約20萬美元的價格出售。科技專家表示,如果屬實,這將是歷史上最大的個人資料洩露事件之一。
(綜合報導)一名駭客近日宣稱獲取了中國上海公安系統逾23TB資料量的10億中國公民的戶籍、身份證等個人敏感資訊,以及數十億條報警記錄等資料,並以10個比特幣,約20萬美元的價格出售。科技專家表示,如果屬實,這將是歷史上最大的個人資料洩露事件之一。
據《華爾街日報》報導,根據駭客上週四在一個流行的線上網路犯罪論壇上發佈的一篇宣傳其可用性的帖子,該緩存據稱包括從上海警方竊取的數十億條記錄,其中包含十億中國公民的資料。該帖子於週末開始在社交媒體上流傳,將出售洩漏資料的價格定為10 比特幣,或大20萬美元。
網路安全專家表示,聲稱的駭客攻擊令人震驚,不僅是因為其所謂的規模,如若屬實這將是有史以來最大的個人資料洩露事件的記錄之一,也是已知的中國最大的駭客攻擊,還因為所謂政府資料庫中包含的資訊的敏感性。
報導稱,駭客發佈的資料樣本包括75萬條記錄,包括個人姓名、身份證號碼、電話號碼、生日和出生地,以及向警方報告的犯罪和事件的詳細摘要。這些案件的範圍從小偷小摸和網路欺詐事件到家庭暴力的報告,最早可以追溯到1995年到最近到2019年。
雖然資料洩漏的範圍仍未得到證實,但《華爾街日報》的記者通過給電話號碼被列出的人打電話核實了洩露的幾條記錄。有五個人確認了所有的資料,包括除警方外很難從任何管道獲得的案件細節。還有四個人確認了基本資訊,如他們的名字,然後便掛斷電話。
一位女士對洩露細節的準確性感到震驚,她詢問記者有關她的資訊是否來自她在2016年的案件檔案中報告被盜的iPhone。根據駭客公佈的記錄,另一名姓魏的男子在被騙子說服加入投資計畫後被騙了3萬元,聽到他的資料疑似被洩露後,他歎了口氣說,“我們都在裸奔”。
澳大利亞的網路安全專家亨特 (Troy Hunt) 表示,該資料庫的龐大規模--包括中國 14 億人口中的大多數引起了一些懷疑,他對發佈資訊的使用者的匿名性也是如此。亨特認為,雖然大多數駭客都是出於經濟動機,但索要大筆資金的行為也增加了這種說法被誇大或偽造的可能性。
報導指,記者嘗試的幾個號碼無效或不再使用。在中國,手機用戶每隔幾年更換一次號碼的情況並不少見。上海警方、上海市宣傳辦公室和中國互聯網監管機構沒有回應置評請求。在該資料庫已發佈出售的論壇上,駭客或組織聲稱此次入侵針對的是阿裡巴巴集團旗下的雲計算子公司阿裡雲,他們稱阿裡雲是上海警方資料庫的主機。阿裡巴巴表示已知曉此事並正在調查此事。
週一,加密貨幣交易所幣安首席執行官趙長鵬在推特上表示,該公司已檢測到駭客攻擊,並“加強了對可能受到影響的用戶的驗證”。幣安沒有回應置評請求。
近年來,資料洩露在全球範圍內十分猖獗。根據網路安全公司風險基礎安全(Risk Based Security) 的資料,到2021 年,共有4145起公開披露的違規行為共同暴露了超過220億條記錄。
但如此大規模的洩密事件在中國尤其敏感,黑市資料經紀人曾經在中國販賣個人資料的生意興隆。過去幾年,中國官方加大了對個人資訊的保護力度,最近一次是在2021年通過了《個人資訊保護法》,部分原因是公眾普遍對個人資訊被洩露的程度感到憤怒。
網路安全專家表示,此類違規行為可能會對受影響的個人產生持久且不可預測的後果。亨特說:“試圖從互聯網上刪除您的資訊就像試圖從游泳池中刪除小便一樣。”他說:“它只是進入了一個暴露資料的大熔爐,你不知道哪一點來自哪裡。”
亨特補充說,洩露事件凸顯了中國互聯網防火牆在防止其公民資料被駭客入??侵和線上發佈以供任何人訪問方面幾乎無能為力。儘管中國盡了最大努力,但互聯網確實沒有國界。
