中国警方数据库在线暴露逾一年 导致信息泄露——《华尔街日报》

这可能是历史上最大规模的个人数据盗窃案之一，也是中国已知的最大网络安全漏洞，其根源在于一个常见的安全漏洞，导致数据在互联网上处于可被随意获取的状态。今年早些时候发现该漏洞的网络安全专家表示。

据网络安全专家称，上海警方的记录——包含近10亿中国公民的姓名、身份证号码、电话号码和事件报告——原本是安全存储的。但他们表示，用于管理和访问这些数据的仪表板被设置在公共网页地址上，且未设置密码保护，这使得任何具备相对基础技术知识的人都能轻松进入并复制或窃取这批信息。

“他们竟然让如此大量的数据暴露在外，简直疯狂，”暗网情报公司Shadowbyte的创始人维尼·特罗亚说。该公司负责扫描网络寻找未受保护的数据库，并于1月份发现了上海警方的数据库。

泄露的上海警方记录包含近10亿中国公民的姓名、身份证信息和事件报告。图片来源：alex plavevski/Shutterstock网络安全研究公司SecurityDiscovery的所有者鲍勃·迪亚琴科表示，该数据库从2021年4月到上月中旬一直处于暴露状态，持续了一年多时间，之后其数据突然被清空，取而代之的是一封勒索信，等待上海警方发现。该公司同样在今年早些时候的定期网络扫描中发现了该数据库，后来又发现了这封勒索信。

“你的数据是安全的，”根据迪亚琴科先生提供的截图，勒索信上写道。“联系以获取你的数据…恢复需10比特币”，意思是支付10个比特币（约合20万美元）即可归还数据。

这一赎金数额与上周四某匿名用户在网络犯罪论坛上的要价一致，该用户声称可用一个数据库的访问权作为交换，其中包含从上海公安数据库窃取的数十亿条中国公民信息。

周末期间在社交媒体流传的这则帖子令网络安全专家震惊，不仅因为泄露规模庞大，更因政府数据库中信息的敏感性。

上海市政府及中国国家互联网信息办公室未回应置评请求。

网络安全专家已拼凑出该数据库真实性的新证据，以及如此大量隐私信息如何落入犯罪分子之手的细节。

他们表示，这个仪表板如同通向数据金库的敞开后门——即使在所有数据失窃后仍未关闭，直到该漏洞引发公众广泛关注。特罗亚先生认为，数据窃取者与兜售者很可能是同一主体。

“常见情况是，如果勒索受害者不付款，他们就会尝试在网上转卖数据，”他说。

目前无法确定该数据库是意外还是故意公开——可能是为了方便少数人共享数据。特罗亚和迪亚琴科均表示此类漏洞很常见，但两人都对发现如此规模的不设防数据库感到震惊。

两人均表示，他们还证实了匿名爆料者的说法，即泄露数据包含超过23TB的信息，涉及多达10亿人。他们称，其中一个名为“person_address_label_info_master”的文件——包含姓名、出生日期、地址、政府身份证件及证件照片——记录条数接近9.7亿行，这表明若没有重复条目，该文件包含的个人信息数量与之相当。

该文件对具有犯罪记录的人员进行了标记，包括交通违规者、在逃人员以及涉嫌强奸或谋杀者。其中还包含“需重点关注人员”标签，这是中国政府监控系统中常用的分类，用于标识被视为对社会秩序构成威胁的人员。

一份泄露的上海警方文件记录范围从交通违法到谋杀指控。图片来源：alex plavevski/Shutterstock此次数据泄露事件凸显了政策研究者所指出的中国信息安全策略的核心矛盾。

近年来，中国政府将数据安全与隐私保护作为优先事项，颁布了一系列旨在限制商业机构收集敏感数据（包括个人信息）并确保其留在境内的法律法规。与此同时，政府自身仍通过全国性数字监控系统持续收集海量数据，以加强对社会的管控。

部分中国科技政策专家表示，此次信息从政府机构泄露——且目前有数量不明的副本在境外流传——可能削弱北京方面关于此类系统保护国家安全的论点

北京战略咨询公司Trivium China科技政策研究主管Kendra Schaefer在推特上就此次泄露事件评论道：“目前尚不清楚该由谁来问责。“她表示，通常由公安部负责网络犯罪调查，该部门监管着上海警方等地方警察机构。

中国政府尚未对此数据泄露事件发表评论，中国社交媒体上相关讨论正被迅速删除。

推特上一些中文用户（包括加密货币交易所币安的首席执行官）推测，此次泄露源于2020年CSDN（一个类似Github的中国开发者论坛）用户发布的技术博客文章，该文章似乎无意中包含了上海警方服务器的访问凭证。

Troia和Diachenko先生表示，根据数据库配置，实际上根本不需要访问凭证，因此这种推测不太可能成立。他们称问题出在设置仪表板的人员身上。

联系记者 Karen Hao，邮箱 [email protected]；Rachel Liang，邮箱 [email protected]

本文发表于2022年7月7日印刷版，标题为《中国警方数据库在线上公开逾一年》