上海公安数据库泄露 揭庞大个资黑市交易

0
Chinese policemen watch screens showing public areas monitored by security cameras in Urumqi, north-west China's Xinjiang region on July 1, 2010. Police has installed 40,000 security cameras throughout the capital of China's Xinjiang region, state media said, as the city braces for the first anniversary of deadly ethnic violence. CHINA OUT AFP PHOTO (Photo credit should read AFP/AFP/Getty Images)

图为新疆乌鲁木齐公安观看监控系统。(AFP/AFP/Getty Images)

随着黑客贩卖上海公安数据库10亿条记录,一个庞大的中国公民数据黑市交易市场出现在公众面前。更讽刺的是,这些数据大部分来自中共政府竭力掩盖的监控网络。

6月底,一个匿名黑客用户在网络上挂牌出售从上海公安数据库窃取的约10亿中国公民的数据。这是中共历史上最大的一次数据泄露事件,包括敏感数据,如身份证号码、犯罪记录和详细的案件摘要。

《华尔街日报》周五(7月22日)报导说,有几十个中国数据库在网络犯罪论坛和Telegram上出售,有些甚至是免费的。华日的一篇评论分析说,其中四个被盗的数据库包含的数据可能源自政府方面,而其它几个数据库则被宣传为包含政府数据。

华日报导说,在黑客以约合20万美元价格兜售从上海警方窃取的数据库后几天,销售所有或部分数据的广告开始以各种形式出现在网络上。与此同时,在原来的论坛上还出现了其它几个帖子,以更低的价格提供类似数据。

其中一个帖子是关于出售同一个上海公安数据库的广告,标价为10万美元。另一个帖子来自一位自称是河南省警察的用户,自称受上海数据库盗窃案的启发,以一枚比特币(约合2万美元)的价格提供9,000万人的个人信息。

第三个帖子以2,000美元的价格推广据称是来自中国疾病预防控制中心的900万条记录。几天后,第四个帖子突然出现,以500美元的价格出售四万条中国公民的姓名、电话号码、地址和身份证号码记录。

华日说,在通过对各帖子提供的数据样本进行分析后,他们发现这些数据可能来自不同的数据来源,并包含几个真实的条目。

这些帖子与上海公安数据库泄露事件一样,提供很多敏感信息,比如:身份证号码、户籍记录、社保账号、联系信息甚至人脸识别记录。

庞大的中共监控系统 最容易泄露

华日报导透露可能的中国数据库的来源。其中两个贩卖政府数据库的卖家告诉说,他们从企业和政府雇员那获得了这些数据。一位在Telegram上以中文意思“毒”为名的卖家说,从政府的官方名册中特别容易找到政府雇员,而他们特别容易被收买。

“政府人员一个月工资才多少钱”,这位卖家称,“给我们导出一个数据够他几年的基本工资。”

观察人士表示,在互联网上如此多的中国敏感数据公开出售,对竭力监控民众的中共政府来说,是非常尴尬和讽刺的事。

追踪此类数据库的服务机构LeakIX表示,还有数万个中国数据库仍暴露在互联网上,没有任何安全保障,数据总量超过700兆字节,其规模超过所有其它国家。

LeakIX的分析还显示,跟其它国家不同,中国暴露的数据库涉及面广,且包含很多敏感信息,而这跟中共当局将政府和企业的各类信息集中到政府控制的监控平台有关。

华日说,网络安全专家表示,将如此多的数据集中在一个地方,必然会增加数据泄露的风险。报导引述暗网情报公司Shadowbyte的创始人文尼‧特罗亚(Vinny Troia)说,密码设置太弱或被盗、遭网络钓鱼或有员工心怀不满都“可能导致整个系统瘫痪”。该公司在网络上扫描不安全的数据库。

全方位监控民众的同时 数据泄露猖獗

但是另一方面,随着中共当局越发广泛地掌控数据的同时,也出现了中国国内数据泄露的猖獗问题。地下黑中介肆意盗卖个人信息获利,其中大部分是从政府计算机网络中窃取的,由于电信诈骗者利用这些信息骗取了大量的受害者资金,引发了公众的愤怒。

中国国内媒体“中国证券网”2022年6月21日曾报导,有微博网友曝料称,大学生学习软件超星学习通的数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7,273万条。#学习通#话题一度登上微博热搜第一。

2021年4月19日,大陆官媒《经济参考报》也曾报导,数十亿条个人信息明码标价,“潜规则”盛行售卖泛滥成灾。

报导说,通过业内人士登录Telegram、暗网,上亿条各类别的个人精准信息映入眼帘,正在被公开售卖。包括个人的行踪轨迹信息、财产信息、住宿信息、通信记录,甚至是面部活体信息,只要点击支付就可轻易获取,贩卖猖獗,信息量和交易量之大触目惊心。

中共出台的限制个人数据被收集和跨境转移的法律《个人信息保护法》形同虚设,因为政府要么不执行法律,要么选择性执行法律。

中共当局正在使用大数据加上天网视频监控系统,由国家掌控的中央平台收集和分析公民敏感数据,并借此侦测和发现,甚至是预测那些他们认为“具有威胁”的需要维稳的对象。

COVID-19疫情期间中共当局推出的健康码管控措施就是一个证明。第一个“健康码”2020年2月5日起在浙江杭州推出,十天后就推广到中国各地。

在大数据背景下,“健康码”除收集疫情数据,还收集民众身在何处、个人消费、银行存款等私人信息。

2022年4月,河南有多家村镇银行因遇到资金危机,无法提供取款服务,一些焦虑的储户便前往省会郑州维权。

维权人士很快发现自己的防疫健康码“被转红”,质疑当局用防疫技术来“维稳”,当局随后宣布惩处多名官员。这在中国互联网引发了一场舆论海啸。

观察人士表示,在互联网上如此多的中国敏感数据公开出售,对竭力监控民众和掩盖恶行的中共政府来说,的确是一件非常尴尬和讽刺的事。