2022/07/07 23:28
〔編譯楊芙宜/台北報導〕根據華爾街日報報導,上海警方資料庫近日涉及近10億中國公民數據遭駭客竊取的資安事件,個資外洩創史上最大規模;值得注意的是,網路安全專家發現,用於管理和訪問該資料庫的「控制面板(dashboard)」出現一個常見漏洞,使該數據庫過去1年多來一直曝露在風險中,導致了這場有記錄以來最大規模個資數據外洩。
美國之音(VOA)指出,中國公民資訊外洩打臉北京「數據治國」,洩露讓中國政府顏面掃地。近年來,北京通過了一系列法律規範,限制敏感數據包括個資在內的商業收集,並要求數據必須在中國國內儲存;同時,中國政府繼續透過全國性數位監控設備,收集公民大量數據,以更嚴格掌控社會。
請繼續往下閱讀…
紐約時報指出,駭客兜售提供上海警方資料庫的外洩資訊,凸顯儘管中國監控收集公民資訊的規模在世界上領先,但在保護這些數據的安全性方面卻堪憂,且在中國當前法律規定下,無從究責。
華爾街日報引述網路安全專家表示,上海警方資料庫包括個人姓名、身份證號碼、電話號碼以及警情資訊,涉及近10億中國公民,一個用於管理和訪問該資料庫的「控制面板」被設置在一個「公開網址」上、且「沒有加設密碼」,自2021年4月開始一直保持打開狀態,任何有相對基本技術知識的人都可以輕鬆訪問、複製或竊取庫中的海量資訊。
根據報導,資安公司「SecurityDiscovery(發現安全)」的老闆狄亞申科(Bob Diachenko)表示,從2021年4月到今年6月中旬,該資料庫在這一年多時間裡一直曝險在網路上;該數據庫在上月中旬突然被清空,放上一張勒索通知,意指要支付贖金為10枚比特幣(約20萬美元、600萬台幣),駭客才會歸還這些數據。
暗網情報公司「Shadowbyte(影子位元)」創辦人托伊亞(Vinny Troia)也驚嘆,「他們把這麼多數據曝露在外,這太瘋狂了」。
報導說,「Shadowbyte」這家公司專門掃描搜尋存在安全漏洞的網路資料庫,早在今年1月掃描時,就發現了這個上海警方資料庫。「SecurityDiscovery」也在今年稍早進行定期網路掃描時,發現了這個資料庫,後來又在掃描時發現了那張勒索通知。
根據報導,一位匿名用戶上週四在某網路犯罪論壇以同樣價格,出售一個資料庫的訪問權,並稱這個資料庫包含從一個上海公安資料庫中盜取的數十億條中國公民資訊記錄。這篇帖子上週末開始在社群媒體上迅速傳開。上海市政府和中國國家互聯網資訊辦公室未回應報導置評的請求。
美國之音(VOA)報導,荷蘭萊登大學現代中國研究助理教授、史丹佛大學網路政策中心「數位中國」(DigiChina)項目共同創辦人克里默斯(Rogier Creemers)表示,這次駭客事件「當然讓中國政府十分難堪」,中國政府數位野心帶來了風險,這起事件削弱民眾對中國政府控管這種風險能力的信任和信心。
美國喬治梅森大學客座教授、網路安全專家黃基禎認為,這次上海警方數據洩露事件代表的是對「中國政府數據化發展」的一種打擊,中國政府嚴格要求數據在當地儲存,「現在(個人)資料外洩,變成人民對(中國)政府越來越不信任」。