[WSJ] #中国 中国警方数据库在网上暴露超过一年,导致数据泄露

Liste des GroupesRevenir à tp china 
Sujet : [WSJ] #中国 中国警方数据库在网上暴露超过一年,导致数据泄露
De : mobot (at) *nospam* fakemail.com (Mobot)
Groupes : talk.politics.china  alt.chinese.text
Date : 07. Mar 2025, 01:56:06
Autres entêtes
Organisation : BWH Usenet Archive (https://usenet.blueworldhosting.com)
Message-ID : <vqdg75$rom$1@nnrp.usenet.blueworldhosting.com>
User-Agent : Mobot :-)

中国警方数据库在网上暴露超过一年,导致数据泄露

专家表示,上海警方的记录因一个公共仪表盘的开放访问而暴露,尽管数据本身被安全存储。Ng Han Guan/美联社

撰稿:Karen Hao(香港)与 Rachel Liang(新加坡)

翻译:ChatGPT o1

时长:约 6 – 8 分钟阅读

网络安全专家表示,今年早些时候他们发现的一个常见漏洞,让这起或许是史上最大规模的个人数据盗窃案——也是中国已知最大规模的网络安全漏洞——得以在互联网上轻易被不法分子获取。

据这些网络安全专家透露,上海警方的记录——其中包含近 10 亿名中国公民的姓名、身份证号码、电话号码和警情报告——本身是被安全储存的。但用于管理和访问这些数据的“仪表盘”(dashboard)被设在一个公共网络地址上,而且没有设置任何密码保护,使得任何掌握相对基础技术的人都能轻松进入,复制或窃取这些信息。

“他们居然会让如此海量的数据暴露在外,简直不可思议,”暗网情报公司 Shadowbyte 创始人 Vinny Troia 说。他的公司会扫描网络上未加防护的数据库,并于今年一月发现了上海警方的这份数据库。

网络安全研究公司 SecurityDiscovery 的负责人 Bob Diachenko 表示,这个数据库从 2021 年 4 月起一直在网上暴露,直到上个月中旬数据突然被清空并被一个勒索字条取代。该公司同样通过定期网络扫描在今年早些时候发现了这个数据库,随后又观察到了这张勒索字条。

根据 Diachenko 提供的截图,勒索字条写道:“your_data_is_safe(你的数据是安全的),请联系以取回数据……recovery10btc(赎回价 10 个比特币)。”这意味着只要支付 10 个比特币(约合 20 万美元),即可取回这批数据。

该勒索金额与上周四一名匿名用户在某网络犯罪论坛上提出的售价一致:对方声称持有从“上海国家警方数据库”窃取的数十亿条中国公民信息,并以相同的价格出售这批数据。

这条在周末出现在社交媒体上的帖子让网络安全专家感到担忧,不仅因为此次泄露规模巨大,还因为政府数据库中所含信息的敏感程度极高。

上海市政府以及中国网络监管机构(国家互联网信息办公室)尚未对此置评。

网络安全专家已经收集到新的证据,证实了该数据库的真实性,并揭示了为何如此庞大的私人信息会落入网络犯罪分子之手。

他们表示,这个“仪表盘”就像一扇大开着的门,让人能直接进入数据金库。即使在所有数据被盗走后,这扇门依然没有被关上,直到该漏洞在公众视野中受到广泛关注后才被关闭。Troia 认为,窃取这批数据的,很可能正是如今试图出售这些数据的同一个实体。

“通常情况下,如果勒索对象不支付赎金,攻击者就会在网上出售所盗数据,”他补充道。

目前尚不清楚该数据库是无意间被公开访问,还是故意将其公开以便少数人更轻松地共享信息。Troia 和 Diachenko 都表示,类似的安全漏洞确实很普遍,但他们依然对发现如此之大且未加防护的数据库感到震惊。

两人还证实,匿名泄露者关于“超过 23 TB 数据,涉及多达 10 亿人”的说法大体准确。数据库中名为“person_address_label_info_master”的文件包含公民的姓名、出生日期、住址、身份证号码及身份证照片,记录数将近 9.7 亿行。这意味着它可能包含同等数量的个人信息(假设没有重复条目)。

这个文件会标注有犯罪记录的个人信息,包括交通违章者、被列为逃犯者,以及涉嫌强奸或杀人等严重罪行的人。它还包含了对“需要重点监控人员”的标注——在中国政府的监控系统中,这通常指被视为对社会秩序具有潜在威胁的人群。

这次数据泄露凸显了一些政策研究者口中的“中国在信息安全方面的根本矛盾”:

一方面,北京近年来颁布了多项法律法规,宣示数据安全和隐私的优先地位,限制商业机构对敏感数据(包括个人信息)的收集,并要求此类数据留在中国境内;另一方面,政府本身却通过遍布全国的数字化监控系统,持续收集海量数据,以加强对中国社会的管控。

一些中国科技政策专家指出,涉事机构是一家政府部门,而现在这批信息在境外流转且数量不明,这可能会削弱北京政府关于此类监控系统能够保护国家安全的说法。

“现在谁该对谁负责还不清楚,”北京智库咨询公司 Trivium China 的科技政策研究主管 Kendra Schaefer 在推特上写道。她指出,通常由公安部负责网络犯罪调查,而上海警方等地方公安机关则归其管辖。

中国官方尚未对此次数据泄露事件发表评论,中国社交媒体上关于此事的讨论也正在被迅速删除。

一些中文推特用户(包括加密货币交易所 Binance 的首席执行官)猜测,这次泄露与 2020 年一篇发表在中国开发者社区 CSDN 上的技术博文有关,该博文似乎无意间包含了连入某上海警方服务器的访问凭证。

但 Troia 和 Diachenko 表示,从他们观察到的数据库配置来看,实际上并不需要任何访问凭证——所以这种猜测不太可能。他们认为,问题出在设置这个“仪表盘”的人身上。

如需联系作者,可致信:

Karen Hao:karen.hao@wsj.com

Rachel Liang:rachel.liang@wsj.com

本报道的纸质版于 2022 年 7 月 7 日刊出,标题为 “Police Database in China Was Open Online for Over a Year”(中国警方数据库在网上暴露超过一年)

频道推荐:经济学人中文版





2025-03-07T00:55:10+0000

--
Mobot

If you have any comments on this article, feel free to reply to this post. However, for feedback on the bot, please post in the cn.fan group.

Date Sujet#  Auteur
7 Mar 25 o [WSJ] #中国 中国警方数据库在网上暴露超过一年,导致数据泄露1Mobot

Haut de la page

Les messages affichés proviennent d'usenet.

NewsPortal