最近,駭客在網站上兜售號稱有十億中國公民的數據庫。這個數據庫被認爲是來自上海市公安局。本臺對數據庫樣本進行了梳理與調查。這場可能是史上最大規模的數據泄露是如何發生的?哪些中國居民的信息被公開?這場泄露又凸顯了什麼中國特色呢?
“想在中國生活 你別無選擇”
在中國住了幾十年的美國公民任女士,是在接到記者電話後,才意識到自己是一場可能是中國史上最大規模數據泄漏事件的受害者。
當記者一一跟她覈實自上海公安系統流出的個人證件號碼、出生年月、出入境資料、家庭住址、警方資料……,任女士先是屏住了呼吸,然後證實這些信息正確。
“是的,我個人資訊是正確的……,這感覺好奇怪,同時又很讓人毛骨悚然,好像你所有私人的東西都被攤出來?我還想到我的核酸報告、健康碼、一切與我的證件綁定的資料是不是都被公開了?”她試着整理自己震驚的心情後,對記者說,“抱歉我還在消化這個信息……,但是當我看到你給我的東西時,我就在想,我現在能做什麼? 我無法更改任何信息,那就是我在中國的身份啊,而是竟然還是從政府部門泄漏的。很惱人、我卻無能爲力。”
6月30日,一位自稱“ChinaDan”的賣家在一個駭客論壇上以英文發帖,稱要出售一筆來自上海公安部門,涵蓋十億中國人信息、23 TB的數據庫,喊價10個比特幣(價值約20萬美元)。賣家僅稱這個數據庫被託管在阿里雲上,沒有具體說明數據是如何取得的。但他上傳了三個資料夾、各約25萬樣本、總計近75萬筆資料,供各方“驗貨”。
本臺瀏覽這三組樣本,其中一個資料夾包含了遍及全國各地的人的姓名、電話、地址等,還有包括“直接放樓下發個信息即可”等疑似送貨信息;另一個資料夾裏有來自全國的個人身份證信息,包含出生地、年齡、證件號碼、性別、一些附有工作或酒店入住的照片、一些標註來自某某“人口辦單位”、一些標註重點監控的“七類重點人員”;第三個資料夾則疑似是上海公安局的報警調度臺的信息以及出警紀錄,出現“報警處理不立案”、“請民警到場處理”、“請民警攜帶必要的防護裝備,並注意自身安全”等字樣。
任女士的資料就在第三個資料夾中。
中國是世界上少數實施網絡全面實名制的國家之一,批評者認爲這加強了威權體制對人民的全面監控。在海量蒐集人民數據的同時,此次泄漏案也反映了中國在數據安全保護上的缺陷。
除了中國公民,本臺記者在樣本中發現了其他至少55位美國公民的資料,他們大多是因爲抵達中國後,未在24小時內向當地公安局登記。依照2013年生效的中國《出境入境管理法》規定,所有外國人到中國都需要履行這道手續。
“想在中國生活,你根本別無選擇,就是要把這些信息一次又一次地提交出去。” 任女士告訴本臺。
一位美國國務院發言人以背景說明方式告訴本臺,國務院已注意到上海數據泄漏的報導,但基於隱私考量,不做進一步評論。這位發言人提到,在美國國務院給公民的“赴中國旅遊建議”中,特別在“監控與監視”欄目中提醒: 當地安全人員“仔細監控著外國訪客”,包含酒店房間、會議室、出租車、電話、數位支付、互聯網使用都可能在監控之下。過去曾有美國公民在私人電子訊息中批評中國政府,而被中國安全人員拘留或驅逐的案例。
上海市政府、公安部門和中國國家互聯網資訊辦公室未回覆本臺的置評請求。
在泄漏的警情資料中,有許多詐騙、竊盜的案件,有家暴、虐兒、強姦的紀錄,也有兩起公民因爲“翻牆”到推特網站轉發或發佈涉政、涉領導人訊息而被公安傳喚的案例。最早的案子可追溯到1995年,最近的則是2019年。
數據泄漏受害者之一:“我這電話……你們是哪裏知道的呀?”
數據泄漏受害者之二:““你是誰?你怎麼會有這些(資訊)?”
本臺記者隨機撥打75萬筆樣本數據庫中的電話號碼,進一步進行覈實。有的電話已無法撥通,有些證實是本人,但聽到是詢問數據泄漏後立即掛斷。至少十個人向本臺覈實被泄漏的資料正確,一位女士表示在數據泄漏後的一個禮拜,她每天都接到兩三通陌生電話,不堪其擾。
網友也發現透過支付寶查詢手機號與實名,可以驗證這些數據的真實性。
數據泄漏的源頭
“這三組數據跟以前(數據泄漏)比較不一樣的是警情信息,這組數據我是沒有看過的。”香港一家科技公司的創辦人黃先生說。
對於上海公安部可能擁有全國快遞的個人信息,多位受訪的網絡安全專家表示不意外。不過,他們都對這場數據泄漏案的細節,保持謹慎的觀察態度。
“越想靠這個數據賺錢的人會隱密得越好,而不是告訴全世界我有這個東西,趕緊來抓我吧!”黃先生解釋,大多有價值的數據會在更有行規、有技術門檻的暗網(Dark Web)上進行交易,“其實數據泄漏之後,對駭客來說,最有‘價值’的不是去公開賣這個數據,而是在被駭的平臺不知道的情況下,用這些數據做一些‘有價值’的違法的事。會拿出來賣,很可能第一層價值已經用光。開始賣之後,又會隨着時間的推移,越來越便宜。”
目前各方證據顯示,這組十億人的數據可能在一年多前就已經泄漏了,而且發生泄露的原因可能是一個常見的失誤。
美國有線新聞網(CNN)引述網站LeakIX分析,上海警方數據庫的資料早在2021年4月已經暴露。LeakIX是一個專門追蹤互聯網上暴露數據庫的網站。網絡安全研究公司Security Discovery的創辦人迪亞成柯(Bob Diachenko)也在推特上證實,今年4月他們就關注到這組數據暴露在風險中,而且沒有設置密碼,直到六月數據庫遭惡意攻擊、破壞、複製,並留下勒索贖金的通知,要求10個比特幣。
“這數據在外面流轉很長的時間了,現在因爲拿到面向很多人的論壇來賣,才引起關注。” 一位熟知中美數據產業工作的從業人員向記者解釋,根據線索,一個可能的泄漏源頭是:當程序員在使用彈性搜索服務器(ElasticSearch)爲上海市公安局搭建大數據搜索系統時,把數據備份在阿里雲上,卻因失誤讓數據後門大開,成爲可在數據可視化網站Kibana下載或瀏覽的資訊。
本臺查找上海市公安局的公開資料發現,阿里雲曾在2019年7月15日以2253萬預算,中標上海市公安局“智慧公安綜合服務平臺的建設項目”,其中包含搭建“智慧公安”綜合門戶、全要素智能搜索系統。
2020年,在中國最大的程序員技術博客平臺CSDN上,曾有一名用戶分享如何把數據備分到阿里雲上。網友發現這篇文章無意間泄漏了上海公安服務器的訪問密鑰。
不管是透過程序員泄露密鑰,或在設置搜索面板時失誤讓門戶大開,都有相似的前例可循。
2017年,大疆公司發現安全漏洞,最後查出是前員工將代碼分享到GitHub 網站的“公有倉庫”,造成泄漏。2019年,江蘇省公安廳也有一個包含9000萬筆資料的數據,被暴露在可公開訪問的彈性搜索服務器(ElasticSearch)上。
2020年底,一份來自上海的195萬共產黨員名單被泄漏。曾對這組數據庫作分析研究的數據安全分析機構“Internet 2.0”創辦人戴維·羅賓遜(David Robinson)告訴本臺,目前看來兩者並不相關,只能說可能反映了上海在數據安全方面的控制不佳。
“中國特色”
對於海量的中國公安部關鍵數據被暴露在網絡上一年多,瀏覽者來來去去卻無人修補、無人上報,幾位曾有中國科技公司經驗的受訪者提到了其中的“中國特色”。
“比如國內有個程序員看到了CSDN上的漏洞,他能不能去告訴公安部門?能不能去告訴阿里?不能!你告訴以後,很有可能被抓、被告,以《破壞計算機信息系統罪》的形式來起訴你。”上述熟知中美數據產業工作的從業人員提到,2016年,“烏雲網高管被抓事件”,對中國的“白帽駭客”生態有很大的衝擊。“ 相當於看到老人摔倒,現在我不敢扶的,扶了我會倒楣的,沒有人敢做這事了。”這位從業人員出於安全考慮不願具名受訪。
烏雲網是一家2010年由民間創辦,爲了讓中國企業更重視網絡安全的抓漏洞平臺。“白帽駭客”(或又稱“道德駭客”)指的是以駭客的立場去排查安全漏洞,以維護網絡安全的電腦安全專家。
2016年,烏雲網被關閉、多位高管被帶走的事件引起互聯網界的恐慌。當局未做出解釋,但一種說法是可能與該平臺上的駭客揭漏了中國統戰部的系統漏洞有關。當時評論分析,這種即使是以公共利益爲出發點的民間駭客活動,也讓中國當局感到不安。
“我如果在系統裏發現一個漏洞,在其他國家我可能聯繫軟件公司、開發者或機構……。國內不能這樣搞,你要先提交網路安全管理局,先上交給國家,但他怎麼利用,你不知道的。”在中國公司擔任程序員的馬先生說。
“這些漏洞可能有價值,能在對方不知道的情況下,去黑別人的網站。利用這個時間差,確保國內在(網路)進攻這方面的優勢。”上述匿名從業人員解釋。
在網絡安全成爲國家戰略的背景下,中國正在完善立法,加強對網路世界的控制。根據中國工信部、國家網信辦、公安部2021年7月聯合發佈的《網絡產品安全漏洞管理規定》,發現安全漏洞時,必須在2日內向工信部分享信息。
2021年12月,中國工信部就以“發現網絡安全漏洞,卻不及時向電信主管部門報告”爲由,處罰阿里雲公司。當時,阿里雲安全團隊在發現阿帕奇(Apache)的系統漏洞後,先通知了總部在美國的阿帕奇軟件基金會。
在中國確保數據優勢上,國家網信辦在7月7日剛公佈《數據出境安全評估辦法》。未來,若有企業需傳輸超過 10 萬人的個人資訊,以及傳輸超過 1 萬人的指紋和其他敏感個人數據,必須接受國家安全審查。
這些企業必須提交資料給政府部門,包括傳輸數據的目的、正採取的安全措施及目的地國家的法律和法規,調查人員再依據資訊泄露的可能性進行審查。
窺探“警察國家”的窗口
在第一時間,中國當局用慣用的手法處理這次的上海數據泄漏案:全面刪帖、控評。
在中國社交媒體微博和微信上,所有提及此次數據泄漏的內容都被審查。 幾篇關於此次事件的自媒體報導也快速被刪除。
“大多數的中國人都在問相似的問題,也是被審查刪除的最多的是: 我的數據被泄漏了嗎?他們有多少關於我的數據?爲什麼我的個人資訊沒有被安全的存放?”總部設在中國的網絡審查觀察網站GreatFire.org共同創辦人史密斯(Charlie Smith)告訴本臺。這個網站自2011年開始追蹤在中國社交媒體平臺被審查的帖子,基於安全考量,史密斯是他的化名。
這些個人信息被泄露對這些當事人來說當然是件壞事,但是一些社會科學研究者則在這些樣本數據中,得到了一個窺視中國的獨特窗口。
美國威斯康辛大學麥迪遜校區研究員、專研中國人口統計的易富賢把其中一組25萬的全國人口的數據作分析,發現樣本的分散度大、隨機性強,幾乎涵蓋中國每個縣,姓氏分佈比例也與2010人口普查結果非常一致。
“說明抽樣的質量很高,整體來說是一個可靠的人口數據,”易富賢告訴本臺,他用這組數據得出的結果與他先前的預測高度雷同: 中國人口危機的嚴重程度超乎官方公佈的數據。
這些樣本數據也提供了警察國家運作的一些線索。記者在其中一組資料夾內發現166人被標記爲“公安部七類重點人員”,這包含重點上訪人員或涉穩人員。在上海的警情數據中,與強姦案有關的至少有150件,與家暴有關的則有超過300件,一些詳細記錄了暴力的細節。
其中一個報警人稱因“生育下一代問題”遭公公及丈夫毆打,一位三歲的女童遭爺爺性侵,一位到北京上訪的上海居民被帶回派出所接受調查,還有一位市民因反應家中違章搭建未獲得相關部門處理,揚言要到市政府喝農藥自殺。
一位微博網友評論問道,“這擋案裏的每個案件,隨便一個都是能上熱搜的,這還只是報警處理的,真實的情況有多嚴重?”
“這個事件最令人擔憂之處在於,他們在不考慮隱私的情況下公佈這些個人可識別資訊(PII)。多數時候這類數據公開,可能會刪除或屏蔽一些欄目。” 數據安全分析機構“Internet 2.0”創辦人戴維·羅賓遜(David Robinson)對這些涉及個人甚至未成年人隱私的犯罪信息缺乏保護感到非常喫驚。
“信息泄露,人人裸奔,中國互聯網美麗的一天。”一位中國用戶在微博上評論道。
原文出處 rfa