【大纪元2023年02月14日讯】(大纪元记者夏松综合报导)中国长期存在售卖个人信息事件。陆媒报导,疑似45亿条电商或快递物流行业数据在“暗网”被泄露,个人信息包括真实姓名、电话与住址等。大陆网络安全问题引发关注。
约45亿条个人信息被泄露
据陆媒《21世纪经济报道》今天(2月14日)报导,2月12日晚,Telegram(电报)各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了大陆45亿条个人信息,数据包大小达435GB,疑似电商或快递物流行业数据。用户仅需输入手机号,即可通过该机器人查询到姓名、手机号和详细的收货地址等隐私信息。
报导说,记者在13日上午10时至下午5时多次验证时发现,该隐私查询机器人已停用。网络安全专家冰尘(化名)在接受采访时表示,经过测试发现,通过该接口查到了个人信息,包括姓名、手机号以及多个家庭住址。
“2021年11月份,我从武汉搬到了北京,最近一段时间也刚搬家,通过反馈的数据可以看到我在武汉、北京两个地方的地址。”冰尘说,“以此分析,数据泄漏的时间不早于2021年11月份,最晚不晚于2022年12月份。”
冰尘表示,数据泄露主要有四个原因:一、API接口数据泄露;二、运维不当或者内部管理不严,导致包含密钥或源代码泄露;三、内鬼泄露数据;四、企业内部数据库被打穿。
数据泄露广泛 类型多 涉多家平台
冰尘说:“这次其实就是在电报上创建频道,类似于国内的公众号,通过公众号自动回复便可以查询到个人相关信息。”有人将泄露的用户数据整合分析、集中归档到“社工库”,通过社工库便可以获得相关信息。
据百度百科,社工库(Social Engineering Database)是黑客与大数据方式结合的产物,黑客将泄露的用户数据整合分析,然后集中归档的地方。社工库是用各大网站用户的资料数据库搭建的数据库查询平台,“人肉搜索”有时候就会靠查询社工库信息进行。
冰尘举例说:“我经常使用某购物平台购买生鲜,考虑到和快递员比较熟悉,会请他直接放在冰箱。在这次我查到的地址中,也出现了‘放冰箱里’这四个字。”
冰尘认为,正常情况下,可能只是某个企业的数据泄露,但此次的数据泄露较为广泛,类型较多,涉及多家平台的相关快递信息。信息泄露规模庞大,暂时无法判断其泄露具体原因。
《21世纪经济报道》就此次事件向顺丰、京东、淘宝等平台求证,前两者均表示未收到相关消息,淘宝暂无回应。
大陆网络不安全 个人信息泄露惊人
大陆网络安全科技企业“奇安信集团”13日在一篇题为“疑似45亿条快递信息泄露 数据安全再敲警钟”的文章中称,45亿个人信息数据主要为数以亿万计的网购用户的个人快递信息,并出现公开查询渠道。数据泄露规模大,关乎公民个人隐私信息。
该公司成立于2014年,向中共政府、企业用户提供网络安全产品和服务。
文章称,仅仅是2022年1月到10月,就有超过950亿条的境内机构数据在海外被非法交易,其中60%的数据泄露事件泄露的是公民个人信息,约有570多亿条。
奇安信数据安全首席专家刘前伟表示,目前大规模重要敏感数据缺乏针对性的防护手段。随着云计算、大数据技术的发展,大数据的集中存储使得其重要性和价值也随之增加。不过,与之匹配的安全防护手段却没有随之增加,如API安全防护、特权账号管理、数据库安全审计等。
贩卖个人信息在大陆长期存在
《21世纪经济报道》报导说,近年来,在“暗网”售卖个人信息的事件时有发生,大量个人信息被“明码标价”。北京、南通、盐城、兰州等地都曾出现过通过“暗网”非法倒卖个人信息案件。
“暗网”利用加密传输、P2P对等网络等,为用户提供匿名互联网信息访问的一类技术手段,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权等才能登录。
“暗网”通常被认为是“深网”的一个子集,显著特点是使用特殊加密技术刻意隐藏相关互联网信息,深网中的内容无法通过常规搜索引擎进行访问浏览。
责任编辑:高静#
