【大纪元2022年07月06日讯】(大纪元记者林燕综合报导)上海警方数据库超过10亿人数据被泄露事件震惊全球网络安全界,这些敏感文件因何被泄漏,各种猜测都有。最新说法是公安内部不当操作所致。
到周二为止,多家美国媒体对部分泄漏信息进行了核实,证实其中一些信息是真的,但非全部。卖家在论坛上发布的数据样本中包含的被记录者的个人信息之详细以及细节令人不寒而栗,比如:数据库还有被记录者的快递和食品订单细节的文字记录。
彭博社周二(7月5日)的专栏文章说,可能是因为中共公安内部马虎、不当操作导致的,而非黑客攻击泄漏的。
彭博社分析说,卖家对这个包含几十亿条案件记录的数据库要价仅10个比特币(20.2万美元),这表明卖家是偶然发现这些数据的人,是机会主义者,而不是受金钱驱使的专业黑客。
他们表示,数据可能是上海警方将全国各地的多个来源进行了编制,这些数据已经超出了执法部门通常收集的第一手资料范围。
上海政府没有公开回应数据泄露事件。上海市警方和网信办也没有回应媒体的评论请求。
通常,黑客试图渗透计算机系统时,可能使用恶意软件和网络钓鱼攻击,这次上海警方的漏洞似乎简单得多。
彭博社说,根据公共论坛和社交媒体上发布的数据,以及熟悉此事但没有直接参与的人士之间的讨论,貌似此事最早源于一名软件开发人员在一个在线代码库或博客文章中留下了一个访问密钥。这把密钥类似于密码,但功能与密码不同。
有了这把密钥,再加上对数据库建立方式的基本了解,就可以进入系统,这次的信息很可能是通过访问一台配置不良的服务器提取的。
“网络安全界的共识倾向于这不是一次黑客攻击,而是一个马虎和不良安全做法的例子,尽管获取数据的确切方法尚未得到证实。”该分析说。
专家:警方泄露说明存重大网络安全事故
华盛顿研究机构中东研究所(Middle East Institute)非常驻研究员克洛伊·蒂文(Chloe Teevan)推文说:“如果是真的,这对数据被泄露的中国公民来说是很糟糕的,但对中国(中共当局)的数字声誉来说也不是好事。
“其它地方也有过重大的网络攻击,但(上海数据泄漏的)这种规模以及泄漏源来自警方则是一个重大的网络安全事故。”
据悉,遭泄漏的10亿人数据库由上海警方运行,托管在阿里巴巴控股集团有限公司的阿里云服务器上。阿里巴巴是中国第一家进军云计算领域的技术提供商,也是中国最大的云提供商。
这可能是有史以来最大的泄露事件之一,特别是考虑到所含信息的详细程度。但是,这些数据将给调查人员提供一个很好的研究中国社会的机会,观察中共收集数据的框架以及如何利用信息来监视和管控老百姓。
之前,澳大利亚战略政策研究所和美国媒体Intercept合作,对中共警方的一个数据库泄漏进行研究后发现,北京是如何监控新疆维吾尔族人。
中共急忙删帖 科企无动力报告漏洞
在泄漏事件发生后,中共国内媒体集体噤声,社交媒体平台也在快速删帖。
《华尔街日报》说,如此大规模的数据泄露在中国会尤其敏感。中国黑市数据经纪商一度大肆贩卖个人信息。过去几年,尽管北京不断加大对个人信息的保护力度,甚至在2021年通过《个人信息保护法》,也是因为数据泄露程度令人忍无可忍,民众怨声载道。
但是这些行动只针对企业,却为党国政府以所谓的“国家安全”名义收集信息留下了广泛余地。
驻澳大利亚的网络安全顾问特伊·亨特(Troy Hunt)告诉《华日》,这次泄露事件凸显出,对于防止公民数据被黑客攻击并发布到网上供人访问,中共庞大的互联网过滤系统——防火墙几乎无计可施。
2021年9月,中共还推出了《数据安全法》,对重要领域的国内外企业数据强化监管,同时要求企业发现自身网络安全漏洞时立刻向北京汇报。
同年11月,阿里云的一名研究人员发现了一个全球性软件漏洞,并向一个开源软件基金会做出提醒。随后,中共当局以阿里云未及时向他们报告软件漏洞为由,勒令阿里云整改6个月。
原华为南京研究所工程师金淳接受大纪元采访时表示,对本次泄漏时间来说,极有可能是技术人员发现漏洞不及时修复,也不及时上报,消极怠工。
他说,在上海“疫情都忙不过来了,还管那个网络漏洞干啥?”
曾在华为从事华为云系统漏洞的测试工作的金淳说,中共的所谓网络安全,表面上固若金汤,实际漏洞百出。“上海公安的系统,甚至都不如华为的云系统安全。更有可能被攻破。”他说。
责任编辑:叶紫微#
