大量中国警方文件在涉嫌黑客事件中被挂牌出售——《华尔街日报》

一名匿名黑客或黑客组织正在出售据称从警方数据库窃取的大量中国公民数据，其中部分信息经核实确为真实。若得到证实，这将成为史上最大规模的个人数据泄露事件之一。

根据该黑客周四在某知名网络犯罪论坛发布的广告帖，该数据缓存据称包含从上海警方窃取的数十亿条记录，涉及十亿中国公民信息。周末期间在社交媒体流传的帖子显示，泄露数据标价10比特币（约合20万美元）。

网络安全专家表示，此次黑客攻击之所以令人震惊，不仅在于其号称的庞大规模（可能跻身有记录以来最大规模数据泄露事件，也是中国已知最大规模数据泄露），更在于政府数据库中包含的信息敏感度。

黑客发布的数据样本自称包含75万条记录，其中有个人姓名、身份证号、电话号码、生日和出生地，以及向警方报案案件详细摘要。案件类型从轻微盗窃、网络诈骗到家庭暴力举报不等，时间跨度最早可追溯至1995年，最近至2019年。

尽管数据泄露范围尚未得到证实，《华尔街日报》通过拨打泄露数据中的电话号码核实了部分记录。五人确认了所有数据（包括仅可能从警方渠道获取的案件细节），另有四人在确认姓名等基本信息后挂断电话。

一位女性对泄露信息的准确性感到震惊，她询问关于她的信息是否来自她在2016年案件档案中报失的iPhone。

在中国，公众对数据泄露事件的愤怒情绪日益高涨，人们担忧此类事件已达到难以忍受的程度。图片来源：ALY SONG/REUTERS根据黑客公布的记录，另一位魏姓男子曾报案称被诈骗分子诱骗参与投资计划损失3万元人民币，得知数据泄露后他叹息道：“我们都在裸奔”，这是中国形容隐私缺失的流行说法。

不过网络安全专家对黑客的所有说法仍持谨慎态度。

澳大利亚网络安全顾问特洛伊·亨特表示，该数据库规模之庞大——可能涵盖中国14亿人口中的大多数——以及发布者匿名性都引发质疑。

亨特称，虽然多数黑客受经济利益驱动，但索要巨额赎金的行为也增加了信息被伪造或夸大的可能性。

《华尔街日报》尝试拨打的多个号码均为空号或已停用。中国手机用户每隔几年更换号码的情况并不罕见。

上海警方、上海市委宣传部及中国网信办未回应置评请求。

在数据库被挂售的论坛上，黑客或黑客组织声称数据取自阿里巴巴集团旗下的云计算子公司阿里云，他们表示上海警方数据库托管于此。

周一，加密货币交易所币安首席执行官赵长鹏发推文称，公司已检测到此次黑客攻击，并"加强了对可能受影响用户的验证"。币安未回应置评请求。

近年来全球数据泄露事件频发。网络安全公司Risk Based Security数据显示，2021年公开披露的4145起数据泄露事件共导致超过220亿条记录外泄。

根据售卖帖内容，这批遭窃数据据称包含从上海警方盗取的数十亿条记录。图片来源：WANG ZHAO/AGENCE FRANCE-PRESSE/GETTY IMAGES但如此大规模的数据泄露在中国将引发高度敏感——该国黑市数据贩子曾猖獗进行个人信息倒卖。过去几年北京加强了个人信息保护，最新举措是2021年出台《个人信息保护法》，部分原因是公众对数据泄露已达不可容忍程度的普遍愤怒。

这些行动特别针对企业，但在国家安全考量下，为政府收集信息留下了广泛的豁免空间。

网络安全专家表示，此类数据泄露可能对受影响的个人产生持久且不可预测的后果。

“试图从互联网上删除你的信息，就像试图从游泳池中去除尿液一样，”亨特先生说。“它只是融入了一个暴露数据的大熔炉，你根本不知道哪一部分来自哪里。”

亨特先生补充说，这次泄露事件突显出中国广泛的互联网过滤系统（通常被称为“防火墙”）在防止公民数据被黑客攻击并发布到网上供任何人访问方面能做的很少。

“尽管中国尽了最大努力，但互联网确实没有边界，”他说。

联系 Karen Hao，邮箱 [email protected] 和 Rachel Liang，邮箱 [email protected]

刊登于2022年7月5日印刷版，标题为“黑客数据待售”。