【大紀元2022年07月08日訊】(大紀元記者宋唐綜合報導)上海公安局數據庫大規模泄露,10億中國公⺠個人信息,包括個人姓名、住址、身分證號碼、電話號碼以及警情信息,被視為有記錄以來規模最大的個人數據被竊案之一,這一事件繼續發酵。
新發現是,之前以為主要是黑客攻擊,現在則認為原因在於上海公安局數據庫管理不善,14月之內數據庫一直處於開放狀態。這起大規模個資洩漏事件曝光中共政權推行大數據監控民眾,但在數據管理上存在三大癥結。
泄漏責任在上海公安局?
《華爾街日報》7月7日(週四)發文說,據網絡安全研究公司SecurityDiscovery的老闆鮑勃·迪亞琴科(Bob Diachenko)說,從2021年4月到今年6月中旬,這一年多時間裡,該數據庫一直暴露在風險中。在6月中旬,該數據庫突然被清空,取而代之的是一張勒索通知,上海警方發現了這份通知。
與暗網情報公司Shadowbyte一樣,SecurityDiscovery也在今年早些時候進行定期網絡掃描時,發現了這個數據庫,後來又在掃描時發現了那張勒索通知。
目前,安全專家們已將這次大規模泄露案的主要責任人,指向數據的所有者即上海公安局,CNN採訪的專家表示,有問題的是數據的所有者,而不是數據庫託管公司的錯。
CNN報導說,網絡安全研究員、暗網情報公司Shadowbyte的創始人文尼·特羅亞(Vinny Troia)第一次發現這個數據庫是在「一月份左右」,數據庫的網站是公開的,任何人都可以訪問它。
「要麼他們忘記了,要麼他們故意讓它公開,因為這對他們來說,更容易獲取數據。」特羅亞指的是負責該數據庫的當局,「我不知道他們為什麼會這樣,這看起來非常不小心。」
《華爾街日報》報導說,有人猜測,此次泄密源於2020年一名用戶在CSDN上發表的一篇技術博客文章,該文似乎在無意之中包含了上海警方服務器的訪問憑證。
但據特羅亞和迪亞琴科均表示,根據其配置,這個數據庫實際上根本不需要訪問憑證,因此上述理論不太可能成立。他們說,問題出在設置顯示面板的人身上。
記者查找到一則舊聞,去年11月,據「廉潔上海官微」消息,上海市紀委監委對上海市公安局數據處原黨委書記、處長沈與辛嚴重違紀違法問題,進行了立案審查調查。
通告中提到:沈與辛「混淆公權和私利界限,對黨紀國法毫無敬畏之心,行為底線徹底失守,……沈與辛違反政治紀律,串供,銷毀、轉移、隱匿證據。」
從時間上來看,沈與辛與數據泄漏時間點上前後一致,但不知何故,沈與辛被審查後,數據庫漏洞依然沒有彌補。不知道沈與辛與泄露之間有何關係。
數據是真實性的
此前,國際媒體懷疑其真實性,主要是因為數據是黑客泄漏出來的,包括《華爾街日報》《紐約時報》等記者,撥打了這些警方數據樣本中一些人的電話,雖然打通了電話,只能保守地認為,數據的部分內容是真實的。
《華爾街日報》引述澳洲網路安全顧問韓特(Troy Hunt)的觀點,認為檔案內包含中國14億人口中的10億人,規模大到令人懷疑,而且該駭客也可能是為了金錢報酬而誇大或造假。
但如果已經能夠確認,這次大規模泄露案的主要責任人,是數據所有方上海公安局沒有能夠完善其安全,就可以很大程度上認定,該數據庫大致是真實的。
《華爾街日報》表示,「網絡安全專家拼湊出的新證據,表明了這個數據庫的真實性,以及如此多個人信息如何落入網絡犯罪分子手中的細節。」
國際媒體的焦點,現在大多落在中國數據的安全性上。
中共數據管理的三大癥結
此次上海公安局數據庫大規模泄露,至少可以得出以下幾個結論。
其一,中共大規模收集全國人民個資,全面監控。
這起大規模數據洩露事件坐實中共大規模收集全國人民個人數據,事無巨細,實施全面監控。
中國擁有世界上最複雜、最全面的數字監控系統,由數以億攝像頭、電話追蹤器和包括臉部生物特徵、聲紋在內的數據組成。
即使是物業管理公司也可以收集居民的面部信息,並強迫他們掃描面部。網友說:「多年來,我們一直在裸奔。」
美國威斯康辛大學人口學家易富賢在研究泄露的25萬人樣本信息後說,「上海公安泄露的25萬人口數據在各姓氏中分散度大,隨機性強……這25萬人包括了幾乎所有的縣,甚至幾乎所有人口上萬人的鄉鎮。」
記者獲得了被泄露75萬人的數據樣本,其中的報案數據庫「case_data_index」中,報案人的姓名、住址、電話、身分證號、時間、地點,以及報案具體內容全都一覽無餘。如果這些數據被犯罪分子獲得,則會對當事人的財產、安全造成嚴重風險。
其二,數據管理不當,使民眾處於風險之中。
曾在華為從事華為雲系統漏洞的測試工作的金淳說,中共的所謂網絡安全,表面上固若金湯,實際漏洞百出:「上海公安的系統,甚至都不如華為的雲系統安全,更有可能被攻破。」
2021年,北京通過了第一部《個人信息保護法》,雖然該法可以規範技術公司,但當法規面對中共專政時,執行起來可能很困難。而中共掌握這些數據,本身就能對民眾,尤其是良心人士構成威脅。
美國喬治梅森大學客座教授、網絡安全專家黃基禎對《美國之音》表示,「這個中國大陸地區的數據在地化,代表政府掌握人民很多重要的數據。」
他說,「上海泄密事件……增加了人民對政府更加的不信任——原本是相信政府,把個人資料給政府保管,而現在資料外泄,變成對政府越來越不信任。」
其三,事情曝光不僅不吭聲,還封鎖信息。
記者以「上海數據泄漏」搜索百度、微博、微信,搜索出來的,都是與上海公安數據泄漏一些不相干的結果。
在微博上,發布或分享相關信息的用戶帳號已被暫停,其他談論此事的人在網上表示,他們被要求去派出所聊天。一擁有2.7萬名粉絲的微博用戶發表的一篇關於黑客的、廣為流傳的帖子已被審查員刪除,同時她已經被當地政府找去。
按照海外專家看法,中共現在屏蔽信息,應該處於危機處理狀態。
時政觀察人士橫河先生表示:「真實性,官方雖然沒有出面,但這麼重大事件不闢謠,基本就是真的,其實闢謠也是真的。」
責任編輯:林妍#