上海公安局数据库大规模泄露,10亿中国公⺠个人信息,包括个人姓名、住址、身份证号码、电话号码以及警情信息,被视为有记录以来规模最大的个人数据被窃案之一,这一事件继续发酵。
新发现是,之前以为主要是黑客攻击,现在则认为原因在于上海公安局数据库管理不善,14月之内数据库一直处于开放状态。这起大规模个资泄漏事件曝光中共政权推行大数据监控民众,但在数据管理上存在三大症结。
泄漏责任在上海公安局?
《华尔街日报》7月7日(周四)发文说,据网络安全研究公司SecurityDiscovery的老板鲍勃·迪亚琴科(Bob Diachenko)说,从2021年4月到今年6月中旬,这一年多时间里,该数据库一直暴露在风险中。在6月中旬,该数据库突然被清空,取而代之的是一张勒索通知,上海警方发现了这份通知。
与暗网情报公司Shadowbyte一样,SecurityDiscovery也在今年早些时候进行定期网络扫描时,发现了这个数据库,后来又在扫描时发现了那张勒索通知。
目前,安全专家们已将这次大规模泄露案的主要责任人,指向数据的所有者即上海公安局,CNN采访的专家表示,有问题的是数据的所有者,而不是数据库托管公司的错。
CNN报导说,网络安全研究员、暗网情报公司Shadowbyte的创始人文尼·特罗亚(Vinny Troia)第一次发现这个数据库是在“一月份左右”,数据库的网站是公开的,任何人都可以访问它。
“要么他们忘记了,要么他们故意让它公开,因为这对他们来说,更容易获取数据。”特罗亚指的是负责该数据库的当局,“我不知道他们为什么会这样,这看起来非常不小心。”
《华尔街日报》报导说,有人猜测,此次泄密源于2020年一名用户在CSDN上发表的一篇技术博客文章,该文似乎在无意之中包含了上海警方服务器的访问凭证。
但据特罗亚和迪亚琴科均表示,根据其配置,这个数据库实际上根本不需要访问凭证,因此上述理论不太可能成立。他们说,问题出在设置显示面板的人身上。
记者查找到一则旧闻,去年11月,据“廉洁上海官微”消息,上海市纪委监委对上海市公安局数据处原党委书记、处长沈与辛严重违纪违法问题,进行了立案审查调查。
通告中提到:沈与辛“混淆公权和私利界限,对党纪国法毫无敬畏之心,行为底线彻底失守,……沈与辛违反政治纪律,串供,销毁、转移、隐匿证据。”
从时间上来看,沈与辛与数据泄漏时间点上前后一致,但不知何故,沈与辛被审查后,数据库漏洞依然没有弥补。不知道沈与辛与泄露之间有何关系。
数据是真实性的
此前,国际媒体怀疑其真实性,主要是因为数据是黑客泄漏出来的,包括《华尔街日报》《纽约时报》等记者,拨打了这些警方数据样本中一些人的电话,虽然打通了电话,只能保守地认为,数据的部分内容是真实的。
《华尔街日报》引述澳洲网路安全顾问韩特(Troy Hunt)的观点,认为档案内包含中国14亿人口中的10亿人,规模大到令人怀疑,而且该骇客也可能是为了金钱报酬而夸大或造假。
但如果已经能够确认,这次大规模泄露案的主要责任人,是数据所有方上海公安局没有能够完善其安全,就可以很大程度上认定,该数据库大致是真实的。
《华尔街日报》表示,“网络安全专家拼凑出的新证据,表明了这个数据库的真实性,以及如此多个人信息如何落入网络犯罪分子手中的细节。”
国际媒体的焦点,现在大多落在中国数据的安全性上。
中共数据管理的三大症结
此次上海公安局数据库大规模泄露,至少可以得出以下几个结论。
其一,中共大规模收集全国人民个资,全面监控。
这起大规模数据泄露事件坐实中共大规模收集全国人民个人数据,事无巨细,实施全面监控。
中国拥有世界上最复杂、最全面的数字监控系统,由数以亿摄像头、电话追踪器和包括脸部生物特征、声纹在内的数据组成。
即使是物业管理公司也可以收集居民的面部信息,并强迫他们扫描面部。网友说:“多年来,我们一直在裸奔。”
美国威斯康辛大学人口学家易富贤在研究泄露的25万人样本信息后说,“上海公安泄露的25万人口数据在各姓氏中分散度大,随机性强……这25万人包括了几乎所有的县,甚至几乎所有人口上万人的乡镇。”
记者获得了被泄露75万人的数据样本,其中的报案数据库“case_data_index”中,报案人的姓名、住址、电话、身份证号、时间、地点,以及报案具体内容全都一览无余。如果这些数据被犯罪分子获得,则会对当事人的财产、安全造成严重风险。
其二,数据管理不当,使民众处于风险之中。
曾在华为从事华为云系统漏洞的测试工作的金淳说,中共的所谓网络安全,表面上固若金汤,实际漏洞百出:“上海公安的系统,甚至都不如华为的云系统安全,更有可能被攻破。”
2021年,北京通过了第一部《个人信息保护法》,虽然该法可以规范技术公司,但当法规面对中共专政时,执行起来可能很困难。而中共掌握这些数据,本身就能对民众,尤其是良心人士构成威胁。
美国乔治梅森大学客座教授、网络安全专家黄基祯对《美国之音》表示,“这个中国大陆地区的数据在地化,代表政府掌握人民很多重要的数据。”
他说,“上海泄密事件……增加了人民对政府更加的不信任——原本是相信政府,把个人资料给政府保管,而现在资料外泄,变成对政府越来越不信任。”
其三,事情曝光不仅不吭声,还封锁信息。
记者以“上海数据泄漏”搜索百度、微博、微信,搜索出来的,都是与上海公安数据泄漏一些不相干的结果。
在微博上,发布或分享相关信息的用户账号已被暂停,其他谈论此事的人在网上表示,他们被要求去派出所聊天。一拥有2.7万名粉丝的微博用户发表的一篇关于黑客的、广为流传的帖子已被审查员删除,同时她已经被当地政府找去。
按照海外专家看法,中共现在屏蔽信息,应该处于危机处理状态。
时政观察人士横河先生表示:“真实性,官方虽然没有出面,但这么重大事件不辟谣,基本就是真的,其实辟谣也是真的。”
(大紀元:https://www.epochtimes.com/gb/22/7/8/n13776066.htm)