《专家称上海警方数据库安全漏洞由来已久》(AMY QIN, JOHN LIU, AMY CHANG CHIEN
2022年7月8日)报道:
上海街头巡逻的警车,摄于今年5月。
网络安全研究人员表示,上海警方一个拥有大量个人信息的数据库被一名黑客或一个黑客组织窃取,之后被留在网上长达数月之久,这可能是对中国政府的计算机系统已知的最大一次入侵。
有匿名用户在一个网络论坛发帖,提出可出售多达10亿中国人的个人信息,才让这起数据泄露事件曝光。这件事暴露了中国政府庞大的监控和安全机器存在的隐私风险。
中国当局通过跟踪公民的行踪、搜查他们在社交媒体上的发帖、采集DNA和其他生物识别标记,对公民进行大规模数据收集。但就在政府积累越来越多个人数据的同时,有时在保护这些数据上却很松懈,比如把数据放在没有网络安全保护的服务器上。网上出现了出售上海警方数据库的广告后不久,另一个匿名用户在一个在线论坛发帖,表示可出售河南警方的一个数据库,声称其中有9000万公民的信息。
近年来,中国公民对企业保护个人隐私和数据的要求越来越高。如果这次数据泄露事件在中国被广泛知晓,很可能也会引发公众对政府收集私人数据的抵制。但有关这次泄露的报道迅速遭到审查,并已从中国互联网和社交媒体平台删除,表明政府意识到了这次泄露可能引起爆炸性反应。截至周四,新浪微博上诸如“上海数据泄露”、“十亿公民数据泄露”和“数据泄露”等标签都已遭到屏蔽。
郑州商业区的监控摄像头,摄于2019年。中国当局通过跟踪公民的行踪、搜查他们在社交媒体发的帖子、采集他们的DNA和其他生物识别标记,对公民进行大规模数据收集。
“这件事是对中国公安乃至中国政府的一记重击,”战略公司奥尔布莱特石桥咨询集团的中国事务高级副总裁保罗·特廖洛说。“考虑到这个问题对公众来说有多么敏感,他们进入全面审查模式也就不足为奇了。”
虽然大量数据遭泄露的情况并不罕见,但安全研究人员说,上海警方数据库的泄露因其规模之大以及其中一些信息的敏感度之高而引人注目。
两名网络安全研究人员表示,他们已经分别证实了匿名出售数据者的说法,即数据库中有逾23万亿字节的数据,包含多达10亿人的个人信息。他们专门提到泄露数据库中有一份似乎包含近9.7亿条记录的文件,但没有排除数据重复的可能性。
其中一名网络安全研究人员是威胁情报公司Shadowbyte的创始人文尼·特洛亚。他说,几个月前他第一次偶然发现了这个数据库。在互联网上搜罗暴露数据库的在线平台Leak IX的数据显示,上海警方数据库所在的服务器早在2021年4月就已暴露。美国有线电视新闻网CNN曾在早些时候报道过上海警方数据库长时间处于不安全状态的消息。
自称“ChinaDan”的匿名用户为了证明真实性而公布了75万份记录样本,《纽约时报》对部分内容进行了核实。除地址和身份证号外,数据库还包括被警方认定为需要加强监控的“重点人员”的信息,以及警方的报告,包括一名祖父因强奸了他的三岁孙女而被报警的报告。还有一份是某人因去北京天安门广场上访而被调查的报告。样本中还包括违反了中国签证条款的美国公民的姓名和护照号码。
《纽约时报》通过电话联系到的九个人证实了他们的姓名和细节。这些人都表示,他们之前未听说过数据泄露的事情。
一些人似乎并不担心自己的个人信息被泄露。样本集公布的数据中有一条记录是,一名男子向警方投诉自己的女儿被工作单位的经理强奸了,他在电话中证实了这条记录的准确性。但他说,事情已经过去了,信息是否公开已不再重要。
进入北京天安门广场的游客在安检处扫描自己的身份证,摄于2018年。许多中国人对监控和审查已习以为常。
其他人则对信息被泄露表示失望和无奈。许多中国人已经习惯了监控、审查和频繁的电话营销,他们接受了这些侵扰,认为那是为了方便和安全付出的代价。尽管如此,他们说,仍需要有措施保护个人信息。
“会警觉,这些是一般人的档案,应该(被)好好保存。”上海一位名叫梅·彭的女销售员说,她的详细信息也在样本集中。数据显示,她的电动滑板车在2017年被盗后,曾向警方报案。她证实了这条信息。
政府一直对此事保持沉默。国家网信办没有回复记者用传真发去的置评请求。上海市公安局拒绝回答有关该数据库的问题。
中国政府拒绝承认数据泄露的做法与其他国家的普遍做法形成鲜明对比。在其他国家,企业和政府机构通常有责任把信息被泄露的情况告知受到影响的用户。
特洛亚和另一名研究人员、网络安全咨询公司SecurityDiscovery.com的所有者鲍勃·迪亚琴科说,上海警方的数据库曾存放在有安全保护的封闭网络上,直到有人设置了一个网关,等于是在防火墙上打了个洞。他们说,设置这种网关是开发人员的一种常见做法,以便他们可以访问数据库,但这种网关应该有密码保护。
上海警方数据库的网关没有密码。
襄阳在2018年把人脸识别技术与监控摄像头结合起来,将乱穿马路行人的照片、姓名和身份证号码显示在大屏幕上。但就在政府积累越来越多的个人数据的同时,它在保护这些数据方面有时却很松懈。
特洛亚说,他在去年12月或今年1月第一次接触到这些没有安全保护的文件,其庞大规模引人注目。他说,他当时下载并查阅了其中一小部分文件样本。
迪亚琴科说,他的团队早在今年4月就已确定,该数据库可访问,直到今年6月中旬,有人复制那个数据库后,销毁了原来的数据,还留下一个赎金要求,向数据被盗者索要10个比特币(目前约值20万美元),换取数据的恢复。安全研究人员说,恶意劫持被暴露的数据库,并试图用赎金勒索数据所有者的情况很常见。
目前还不清楚是否有人购买并下载了整个数据库。时报本周联系了那个匿名用户,但没有收到回复。
安全研究人员表示,上海警方数据库中包含的大量个人信息可能会让数据被暴露者面临敲诈、勒索或欺诈的风险。
“手中掌握的一个人的情况越完整,危险就越大,”迪亚琴科说。“滥用的可能性无穷无尽。”
Amy Qin是《纽约时报》中国记者,负责报道文化、政治和社会交叉议题。欢迎在Twitter上关注她:@amyyqin。
John Liu为《纽约时报》报道中国新闻,此前他在《缅甸时报》任记者,并为国际新闻机构报道台湾方面的新闻。他于2021年加入时报。
谢选骏指出:英国共产党写出了《1984》来恐吓世界,欧美的学子们纷纷入彀,西施效颦地分析中国,说是《1984》的监控正在中国上演——但是这些贫弱的脑袋,绝对想象不出,中国的故事超出了他们的思考范围。因为自由主义者不懂,人类热爱自由的程度远远超出了他她们的想象——自由的种子就在专制制度内部生根发芽。这是中国的漫长的帝国时代,一而再再而三地不断揭示过了的。
《黑客兜售上海警方数据库,称包含10亿中国公民信息》(JOHN LIU, 孟建国 2022年7月6日)报道:
中国警方主持着一个广泛的监控系统,但保护数据的责任往往落在地方官员身上,他们缺乏监管数据安全的经验。
一名黑客提出出售上海警方的一个数据库,它可能包含大约10亿中国公民的信息,这也许是目前已知最大规模的中国个人数据泄露事件之一。
这名身份不明的黑客名叫“ChinaDan”,他上周在一个网上论坛发帖称,出售的数据库包含10亿中国人的信息,数量以万亿字节计算。泄露的规模无法核实。为了证明数据的真实性,《纽约时报》对黑客公布的75万份记录样本的部分内容进行了确认。
这名黑客上个月加入该网上论坛,他的要价为10个比特币(约合20万美元,或134万人民币)。该个人或组织没有详细说明数据获取的细节。《纽约时报》通过邮件联系了这名黑客,但由于地址似乎有误,邮件无法发送。
黑客提供上海警方的数据库凸显了中国的一种两面性:尽管中国在收集大量公民信息方面遥遥领先,但在保护这些数据的安全性方面却不那么成功。
多年来,中国当局已经极为擅长收集人们日常活动和社会关系的数字及生物信息。他们会分析社交媒体上的帖子,收集生物特征数据,追踪手机,用警方的摄像头录制视频,并对所获得的信息进行筛选,从中找到模式和异常情况。《纽约时报》上月的一项调查显示,中国当局对普通公民信息的兴趣近年来有增无减。
不过,尽管北京对监控的胃口越来越大,有关部门似乎仍向社会开放由此产生的数据库,或者安全措施相对薄弱,使其处于易受攻击的状态。近年来,《纽约时报》查阅了中国警方使用的其他数据库。
5月,北京民众在进入一处设施前扫码并出示健康宝。
中国政府一直在加强对互联网行业数据泄露的管理,这个问题已助长了网上的欺诈行为。不过,政府执法的重点通常是科技公司,政府本身通常不受针对互联网公司的严格规定和处罚的约束。
人权观察的中国高级研究员王亚秋说,即使对公民数据不加保护,政府也无需承担任何后果。在中国的法律中,“在国家数据处理机构有责任确保数据安全方面,措辞模糊。但归根结底,没有追究政府机构对数据泄露负责的机制,”她说。
例如,去年,滴滴在纽约证交所上市后,中国政府对它进行了严厉整顿,理由是敏感的个人信息可能会被暴露。但上个月,当中国河南省地方政府滥用抗击新冠应用程序的数据来阻止抗议者时,官员们基本上没有受到严厉的惩罚。
每当有所谓的“白帽黑客”(指找到漏洞后把风险告诉人们的黑客)报告了规模较小的数据泄露时,中国监管机构会警告地方当局更好地保护数据。尽管如此,加强这方面的纪律一直很难,保护数据的责任往往落在地方官员身上,他们缺乏监管数据安全的经验。
尽管如此,中国公众通常对当局的数据管理充满信任,他们一般认为私营企业不太可信。政府泄露数据的消息一般都会遭到审查。上海警方数据库被入侵的消息也是如此。中国官媒没有报道这个消息。
“在这个上海警方的案件中,应该由谁来调查?”人权观察的王亚秋说。“是上海警方本身。”
这名黑客在网帖提供了上海数据库的样本。其中一个样本里包含了25万中国公民的个人信息,如姓名、性别、地址、政府颁发的身份证号码,以及出生年份。在某些情况下,个人的职业、婚姻状况、种族和教育水平,以及是否被国家公安部列为“重点人物”也可以查到。
11月,上海街头的监控摄像头。中国当局已成为收集人们日常生活数字和生物信息方面的专家。
另一个样本集里是警方的案件记录,包括报案的犯罪记录以及电话号码和身份证等个人信息。这些记录覆盖的时间范围从1997年至2019年。还有一个样本集里的信息似乎是未全部显示的个人手机号码和地址。
《纽约时报》的记者拨打了这些警方数据样本中一些人的电话,四名接听电话者证实了数据细节。另外四人在确认了自己的姓名后挂断了电话。记者联系到的这些人都说,他们此前没听说数据泄露的事情。
警方记录中的一个案件数据包括一名男子的姓名,记录称他在2019年因遭遇诈骗报警,称花了大约3000元买烟,结果发现香烟发霉了。记者通过电话联系到这名人士证实了泄露数据中描述的细节。
上海市公安局拒绝回答记者有关黑客说法的问题。记者在周二多次致电国家互联网信息办公室,均无人接听。
在微博和微信等中国社交媒体平台上,有关数据泄露的帖子、文章和标签已被删除。在微博上发布或分享过相关信息的用户有的已被封号,有的在网上表示,他们已被当地派出所请去“喝茶”。
John Liu为《纽约时报》报道中国新闻,此前他在《缅甸时报》任记者,并为国际新闻机构报道台湾方面的新闻。他于2021年加入时报。
孟建国(Paul Mozur)是一名关注科技与亚洲地缘政治的记者。他参与的团队因对新冠疫情的报道获得了2021年普利策公共服务奖。
谢选骏指出:不论自由主义者左派还是保守主义者右派,不论共产主义者还是法西斯分子——都是受到利益驱动的,这就是复杂中的简单,万变中的不变。这就是中国式的泄密,不同于美国式的泄密(人家吃饱了撑的,是为了一种理想而努力)的地方。《1984》想象不出的中国故事,不过是揭示了《1984》一个盲点罢了。《1984》还有许多盲点,显示任何专制制度也扼杀不了人类破坏制度的能力——这就是自由的行事逻辑(利益驱动),比专制暴政更加强大。因为专制暴政只是少数人的利益驱动,而自由散漫却是多数人的利益驱动。
没有评论:
发表评论