用Podcast訂閱本節目 
中國上海公安局數據庫傳出10億個資外洩,並遭駭客上網兜售事件,不但引起輿論譁然,今(7)日美媒更進一步曝光該事件根本上是中國的數據庫存在資安漏洞,網路安全公司指該數據庫的安全漏洞已經存在長達14個月之久,之後才遭到駭客勒索。專家認為,此事件對中國數據治國的野心是一大打擊,也相當難堪。
日前有駭客在中國某網路論壇放話要「出售上海政府國家警察數據庫,包含數十億中國公民的信息,包括姓名、身分證及所有犯罪詳情,以10比特幣(約20萬美元)出售。」引發外界關注,並可能是史上最大規模的個資外洩事件,但相關關鍵字不久即遭屏蔽。
不過《華爾街日報》今日進一步報導指出,該事件可能是中國官方數據資料庫存在的安全漏洞所引起。暗網情報公司Shadowbyte透露,這個數據庫的管理和訪問功能的一個控制面板(dashboard)被設置在一個公共網站上,並且沒有密碼,這使得任何具有相對基本技術知識的人員可以輕鬆訪問該數據庫、複製或竊取大量資訊。
數據庫放在公共網路且毫無密碼
網絡安全研究公司SecurityDiscovery也指出,從2021年4月到今年6月中旬這一年多時間裡,該數據庫一直暴露在風險中;在6月中旬,該數據庫突然被清空,取而代之的是一張勒索通知,不久上海警方發現了這份通知。與Shadowbyte一樣,SecurityDiscovery也是在今年稍早進行定期網絡掃描時發現了這個數據庫,後來又在掃描時發現了那張勒索通知。
報導指出,這份勒索通知寫道,「你的數據是安全的......聯繫取回數據......恢復10btc」。意思是,要支付10比特幣(約合20萬美元)贖金,駭客才會歸還這些數據。而匿名用戶上周在中國某個網路論壇上開價兜售數據庫個資,要價與資料內容與上述勒索金額正好吻合。
報導表示,這篇貼文上周末開始在中國社交媒體上流傳,引起了網絡安全專家的擔憂,不僅僅是因為數據洩露的規模之大,還因為這個政府數據庫中所含資訊的敏感性。
不信任與可能的濫用讓中國顏面掃地
《美國之音》也報導,近年來,中國多次強調國家將數據安全和隱私保護作為重中之重,通過了一系列法律法規,目的在限制包括個人訊息在內的敏感數據的商業收集,並要求數據在國內儲存。同時,中國政府繼續通過全國性的數位監控設備收集大量數據,以對中國社會施加更嚴格的控制。但此次數據外洩事件,卻也讓中國強調「天地一體、云網融合」自居的科技政策制定和執行者顏面掃地。
荷蘭萊登大學現代中國研究助理教授羅吉爾·克里默斯(Rogier Creemers)認為,這次駭客事件將讓中國政府十分難堪,中國政府自傲的數位野心帶來了風險,這起事件將削弱人們對政府管控這種風險能力的信任和信心。
美國喬治梅森大學客座教授、網絡安全專家也黃基禎認為,此次上海公安數據洩露事件代表的是對「中國政府數據化發展」的一種打擊,除了人們對政府的不信任,公民的個資外洩可能導致假身份證件真假難辨,這對機場、政府設施等關鍵場所的人員檢驗帶來挑戰。
