中国数据泄露：近10亿人的数据被泄露，网上已有一年多

美国有线电视新闻网
–

一个包含多达 10 亿中国公民个人信息的庞大在线数据库在一年多的时间里一直处于不安全状态且无法公开访问——直到上周黑客论坛上的一位匿名用户提出出售数据并获得更广泛的关注.

网络安全专家表示，此次泄露可能是有记录以来最大的泄露之一，凸显了在线收集和存储大量敏感个人数据的危险——尤其是在当局可以广泛且不受监控地访问此类数据的国家。

发现大量中国个人数据的网站 LeakIX 称，至少从 2021 年 4 月起，公众就已经通过似乎不安全的反向链接（一个缩短的网址，为任何熟悉它的人提供不受限制的访问）访问了公众个人数据。并在 Internet 上公开数据库。

在匿名用户宣布出售超过 23 TB 的数据 10 后，无需密码即可访问数据库 比特币 — 近 200,000 美元 — 上周四在一个黑客论坛上发帖。

用户称，该数据库由上海警方编制，包含10亿中国公民的敏感信息，包括姓名、地址、手机号码、身份证号码、年龄和出生地，以及数十亿的通话记录向警察报告民事纠纷和犯罪。

来自数据库三个主要索引的 750,000 个数据条目的样本包含在供应商的出版物中。 CNN 验证了供应商提供的样本中的 20 多个条目，但无法访问原始数据库。

上海市政府和公安部门没有回应美国有线电视新闻网一再提出的书面置评请求。

卖家还声称，解锁的数据库由中国电子商务巨头阿里巴巴的子公司阿里云托管。 周一，当 CNN 联系以征求意见时，阿里巴巴表示“我们正在调查此事”，并将传递任何更新。 周三，阿里巴巴表示拒绝置评。

但 CNN 采访的专家表示，数据主体有过错，而不是托管它的公司。

“就像今天一样，我认为这将是迄今为止最大的公共信息泄露——当然就在 中国微软驻澳大利亚的区域总监 Troy Hunt 说。

中国有 14 亿人口，这意味着数据泄露可能会影响 70% 以上的人口。

“这是一个小例子，精灵无法回到瓶子里。一旦数据像现在这样，就没有回头路了，”亨特说。

目前尚不清楚有多少人在该数据库在线公开可用的 14 个月或更长时间内访问或下载了该数据库。 与 CNN 交谈的两名西方网络安全专家在上周曝光之前就知道该数据库的存在，这表明知道去哪里寻找的人很容易发现它。

网络安全研究员兼暗网情报公司 Shadowbyte 的创始人 Vinnie Troya 表示，他是在“1 月左右”在互联网上研究开放数据库时首次发现该数据库的。

“我发现的网站是公开的，任何人都可以访问它，你所要做的就是注册一个帐户，”Troya 说。 “自 2021 年 4 月开放以来，任何数量的人都可以下载数据，”他补充说。

Troia 说，他下载了该数据库的主要索引之一，该索引似乎包含近 9.7 亿中国公民的信息。 但他表示，很难判断开放访问是否是数据库所有者的疏忽，或者是否是有意在少数人之间共享的捷径。

“他们要么忘记了它，要么故意让它打开，因为他们很容易访问，”他指的是负责数据库的当局。 “我不知道他们为什么会那样做。看起来太粗心了。”

不安全的个人数据——通过泄漏、违规或某种形式的低效率暴露——是世界各地企业和政府面临的一个越来越普遍的问题，网络安全专家表示，找到对公众开放的数据库并不罕见。

据报道，2018 年，Trewa 发现一家总部位于佛罗里达州的营销公司在可公开访问的服务器上暴露了近 2 TB 的数据，这些数据似乎包括数亿美国成年人的个人信息。 有线.

2019 年，荷兰网络安全研究员维克多·杰弗斯 (Victor Jeffers) 发现了一个在线数据库，其中包含中国偏远西部新疆地区超过 250 万人的姓名、国民身份证号码、出生日期和位置数据，中国人几个月来一直没有保护这些地区。 SenseNets 技术，根据 路透社.

网络安全研究人员表示，最近的数据泄露尤其令人担忧，不仅因为其潜在的规模空前，还因为传入信息的敏感性。

CNN 对数据库样本的分析发现，警方记录了从 2001 年到 2019 年近二十年的案件记录。虽然大部分条目是民事纠纷，但也有从欺诈到强奸的刑事案件记录。

在一个案例中，一名上海居民于 2018 年被警方传唤，原因是他使用虚拟专用网络 (VPN) 绕过中国的防火墙并访问 Twitter，据称转发了“涉及（共产党）政党、政治和领导人的反动言论”。

在另一份记录中，一位母亲在 2010 年报了警，指控她的岳父强奸了她 3 岁的女儿。

“可能有家庭暴力、虐待儿童，以及各种各样的事情，这对我来说更令人担忧，”微软区域总监亨特说。

“这会导致勒索吗？我们经常看到数据泄露后对个人的勒索，这就是黑客可以试图勒索个人的例子。”

中国政府最近加强了对在线用户数据隐私的保护。 去年，国家 第一部个人信息保护法通过并就如何收集、使用和存储个人数据制定基本规则。 但专家们有 引起关注 尽管该法律可以规范科技公司，但在适用于中国政府时可能难以执行。

位于乌克兰的安全研究员 Bob Dyachenko 在 4 月首次访问了该数据库。 Dyachenko 说，6 月中旬，他的公司发现数据库遭到了未知恶意攻击者的攻击，该攻击者破坏并复制了数据，并留下了一张赎金票据，要求 10 比特币用于恢复。

目前尚不清楚这是否是上周宣布出售数据库信息的同一个人所为。

根据 Diachenko 的说法，到 7 月 1 日，赎金记录已经消失，但只有 7 GB 的数据可用——而不是最初宣布的 23 TB。

Dyachenko 表示，她表示赎金已经解决，但数据库所有者继续使用暴露的数据库进行存储，直到周末关闭。

“也许有一位初级开发人员注意到了这一点，并试图在高级管理人员注意到之前删除这些注释，”他说。

上海警方没有回应美国有线电视新闻网就赎金单发表评论的请求。

这个故事在周三更新了更多的发展。