包含大约 10 亿中国居民信息的海量数据存储可能是历史上最大的个人信息泄露事件之一。
部分泄露数据上周出现在一个已知的网络犯罪论坛上,有人以 10 个比特币(约合 20 万美元)的价格出售缓存,据称是从存储在阿里巴巴云中的上海警方数据库中窃取的。
尽管泄露的细节仍然很少,但部分数据已被验证为真实,这表明至少有一些数据是真实的。数据的来源以及它是如何落入一个动机不明的地下卖家手中的,目前尚不清楚。
在中国大陆,言论和表达的限制受到严格控制,互联网访问受到审查和严格限制,中国大陆基本上没有报道涉嫌违规的消息。
此次泄露如果属实,将引发对中国大规模监控国家的质疑,这是世界上最大和最广泛的国家,以及北京保护这些数据安全的能力。
这是我们到目前为止所学到的。
数据是如何泄露的?
在网络犯罪论坛上一篇已被删除的帖子中,卖家声称已从阿里巴巴托管的云存储服务器下载数据,阿里巴巴是中国电子商务巨头的云计算部门。周一,当 TechCrunch 联系到阿里巴巴时,阿里巴巴表示正在调查这些索赔。
数据泄露的具体方式尚不清楚,但专家表示, 自 2021 年 4 月被发现之前,该数据库可能已被错误配置并因人为错误而暴露。这似乎排除了这样一种说法,即数据库的凭据在 2020 年被无意中作为技术博客文章的一部分发布在中国开发者网站上,后来被用来从警方数据库中窃取十亿条记录,因为访问它不需要密码.
乌克兰安全研究员 Bob Diachenko 告诉 TechCrunch,他自己的监控记录显示,该数据库也在 4 月下旬通过 Kibana 仪表板(一种用于可视化和搜索大型 Elasticsearch 数据库的基于 Web 的软件)暴露。如果数据库不需要密码,那么只要知道其网址,任何人都可以访问数据。
安全研究人员经常在互联网上扫描无意中暴露的数据库或其他敏感数据,通常是为了收集他们帮助保护的公司提供的赏金。但威胁行为者也会进行相同的扫描,其目标通常是从暴露的数据库中复制数据,将其删除并提供数据返回以支付赎金——这是近年来犯罪垃圾箱潜水员越来越常用的策略。迪亚琴科说这就是这次发生的事情。一名恶意行为者发现、突袭并删除了暴露的数据库,并留下了一张赎金票据,要求返还 10 个比特币。
“我在这里的假设是,勒索信不起作用,威胁者决定从其他地方获取资金。或者,另一个恶意行为者发现了数据并决定将其出售,”迪亚琴科说。
关于卖家或数据被在线倾销的原因知之甚少。在网络犯罪论坛和黑暗网络上出售大量个人数据的情况并不少见,但对于如此敏感或如此数量的数据却很少见。
数据是什么样的?
TechCrunch 审查了卖方上传的更大数据样本,其中包含三个文件,总共约 500 兆字节,每个文件包含 250,000 条单独的记录。
数据本身采用 JSON 格式,这是 Elasticsearch 数据库的标准文件格式,便于阅读和分析。数据库的格式表明它是经过精心维护和下载的,而不是通过纯粹聚合来自多个数据源的信息创建的,这是信息销售商和数据经纪人使用的常用技术。但是,某些数据可能来自外部来源,例如来自食品配送订单。
使数据可能是真实的还在于数据的庞大规模,而且细节程度很难——尽管并非不可能——造假。
TechCrunch 翻译了用中文书写的警察记录,并编辑了个人身份信息。
[画廊类型=”幻灯片” ids=”2349124,2349126,2349127,2349128,2349129,2349130″]
这些文件似乎包含从 1995 年到 2019 年的详细警方报告,包括姓名、地址、电话号码、身份证号码、性别,以及警察被召唤的原因。 TechCrunch 看到的记录包括事件发生或警方报告的详细坐标——以及报告的线人姓名——与每条记录中列出的精确地址以及个人的种族和民族相匹配。 (中国政府已经监禁了超过一百万的本国公民,其中大部分来自穆斯林少数民族,包括维吾尔人和哈萨克人,拜登政府已将其宣布为“种族灭绝”。 )
这些记录包含投诉和刑事指控,从涉及暴力的严重犯罪到相对平庸的犯罪,例如详细报告信用卡欺诈、网络诈骗和赌博,这在中国是非法的。 TechCrunch 看到的几份记录显示,警方报告打击了 VPN 或虚拟专用网络的使用,这些网络用于访问被中国审查制度封锁的网站,因此在中国是非法的。一项记录显示,一名上海居民被指控使用 VPN 在 Twitter 上发表批评政府的言论,该言论在中国被禁止。目前尚不清楚该人随后发生了什么。
这些数据还包含存储在同一服务器上的照片的完整网址,在撰写本文时,这些照片都无法访问,但相关数据通常会显示上传的内容,例如一个人的居留文件或离开该国时的护照。这些网址的格式与阿里巴巴的云服务存储文件的方式一致。
根据数据中列出的出生日期和年龄,我们检查的许多记录似乎都包含有关儿童的信息。
如果没有中国政府(不太可能)的确认,很难确定卖方的说法是否属实,以及数据是否如所声称的那样是从上海警察局获得的。 《 华尔街日报》 、 《纽约时报》和CNN已通过致电在数据库中找到信息的个人来验证部分数据,从而证明其真实性。
有什么影响?
这种所谓的违规行为,如果被证明是合法的,可能会对北京造成极大的破坏,并引发人们对政府的网络安全措施以及违规行为将对个人产生的影响提出质疑。
它正值中国加强对个人数据的保护之际。去年 9 月,中国通过了《个人信息保护法》 ,这是其首部全面的隐私和数据保护立法,被广泛视为中国等同于欧洲的 GDPR 隐私规则。该法律限制了企业收集个人数据的方式,预计将对中国最大的科技巨头的广告业务产生全面影响,但对构成中国庞大监控能力的政府机构和部门允许广泛例外。
据报道,北京已经在审查涉嫌违规的消息,中国的消息应用程序微信和微博正在阻止消息和诸如“数据泄露”和“数据库泄露”之类的提及。中国政府尚未对违规行为发表评论。
这不是第一次涉及大量中国居民数据的安全漏洞,这些数据在没有密码的情况下暴露在更广泛的互联网上。 2019 年,TechCrunch 报道称,中国的一个智慧城市装置泄露了附近居民面部识别数据库的内容。
您可以通过 Signal 和 WhatsApp 联系本记者,电话 +1 646-755-8849 或 [email protected] 发送电子邮件。
原文: https://techcrunch.com/2022/07/07/china-leak-police-database/