網傳駭客竊賣中國10億人個資 目前已知什麼?
2022年7月5日(德國之聲中文網)根據路透社報導,一名駭客上週聲稱從上海公安獲得了10億中國公民的大量個人訊息。技術專家稱,如果事件屬實,這將是史上最大規模的數據洩露事件之一。
這位匿名為「ChinaDan」的駭客,上週在駭客論壇「突破論壇」(Breach Forums)發文稱:「2022年,上海國家警察數據庫(SHGA)被洩露了。這個數據庫包含許多TB的數據和數十億中國公民的訊息。」
該文章續寫道,數據庫還包含幾十億的報警案件記錄,「包括:姓名、地址、出生地、公民身份證號碼、手機號碼、所有犯罪案件細節。」
該名駭客提出以10個比特幣的價格(相當於約20萬美元),出售總共超過23TB的數據。
自上週末以來,有關話題在中國社交媒體網路被廣泛討論,許多民眾擔憂消息可能為真。隨後,「數據洩露」的話題標籤在週日(7月3日)下午遭微博屏蔽,但目前微博實時搜索仍能看見零星的「漏網之魚」。有網民對此表示震驚,形容數據洩漏如同「裸奔」,亦有網民認為,10億公民的個資只求售10個比特幣,過於廉價,質疑真實性。
德國之聲尚無法核實該名駭客發佈的文章內容真實性。截至週二(7月5日),上海市政府與公安局也並沒有回應包含路透社在內多家外媒的置評請求。目前,亦無法聯繫到該名駭客。
《華爾街日報》與《衛報》嘗試通過已被曝光的電話號碼核實,結果顯示,部分嘗試聯繫的號碼已經無效或不再使用,但部分民眾確認了他們的有關數據。
《華爾街日報》報導指出,這份由駭客發佈的數據樣本包括了75萬條記錄,涵蓋個人姓名、身份證號碼、電話號碼、生日和出生地,以及向警方報告的犯罪和事件的詳細摘要。案件範圍最早可以追溯至1995年,最遲至2019年。通過這份數據樣本的曝光資料致電詢問後發現,有5人確認了與他們有關的所有數據,包括除警方外很難從任何渠道獲得的案件細節;另4人確認了基本訊息,如他們的名字,然後便掛斷電話。
自由亞洲電台則引述一名據稱「瞭解此事件部分內情的網絡熱點事件關注者常先生」的說法。該報導稱,常先生向記者表示這起事件「大概率是去年洩露出去但現在被人拿出來賣,上海調查去年落馬的公安局局長龔道安(涉受賄案),可能有關,大概率是從阿裡雲洩露的,當時上海市公安局的存儲訊息的供應商是阿裡雲,沒用騰訊。因為當時龔道安覺得阿裡雲比較好用。現在洩露出去的資料都是真實的。」
專家怎麼看?
上海國家警察數據庫疑有10億公民的數據遭到洩露,對此,總部位於北京的策緯諮詢公司(Trivium China)科技政策研究主管薛佛(Kendra Schaefer)在推特發文表示,很難從眾多謠傳消息中辨別真相。薛佛說,如果駭客聲稱手上握有的數據資料確實來自公安部,那麼「這將是史上最大和最糟糕的外洩事件之一。」
全球加密貨幣交易所幣安(Binance)的首席執行官趙長鵬週一(7月4日)表示,該交易所的威脅情報部門在偵測到有10億居民的紀錄在暗網待售後,已經加強了用戶驗證流程,並呼籲其他平台跟進加強安全措施。
趙長鵬在推特寫道:「我們的威脅情報檢測到有10億居民的記錄在暗網出售,包括來自一個亞洲國家的居民姓名、地址、公民身份號碼、手機、警察和醫療記錄」。他稱,這可能是由於政府機構在Elastic Search部署中的一個錯誤,才導致據數外流。
然而趙長鵬並沒有在推特上明言,所指是否為上海公安數據洩露的傳言,「一個亞洲國家」指的是否為中國。他也沒有立即回應路透社的置評請求。
澳大利亞的網絡安全顧問亨特 ( Troy Hunt ) 則向《華爾街日報》表示,自己對駭客說法持謹慎態度。亨特表示,中國有14億人口,駭客聲稱取得的個資涉及10億人,該數據庫規模極為龐大,這引起了一些質疑。
亨特還說,雖然大多數駭客求售外洩數據都是基於經濟動機,但索要大筆資金的行為也增加了其說法被誇大或偽造的可能性。
《衛報》則引述威斯康辛大學麥迪遜分校的資深學者易富賢的說法。易富賢稱,他下載了網路上的樣本數據,發現了與他的家鄉湖南有關的訊息。
易富賢表示:「這些數據幾乎包含了中國所有縣城的訊息,我甚至發現了與西藏一個偏遠縣城有關的數據,那裡只有幾千名居民。」
近年來,中國發生了多起數據洩露事件。2016 年,包括阿里巴巴創始人馬雲在內的中國權勢人物的敏感訊息,被曝光發佈在推特上,引發軒然大波。
一系列數據外洩事件引發中國當局關注。去年,中國通過了一項新的法律,規定應如何處理在其境內產生的個人資訊和數據。
(綜合報導)
© 2022年德國之聲版權聲明:本文所有內容受到著作權法保護,如無德國之聲特別授權,不得擅自使用。任何不當行為都將導致追償,並受到刑事追究。