阿里巴巴高管被中国当局传唤调查历史数据泄露案——华尔街日报

阿里巴巴云是中国最大的公共云服务提供商，而最近的数据泄露事件涉及估计近10亿中国公民。照片：Mark Schiefelbein/美联社香港——据知情人士透露，阿里巴巴集团控股有限公司的云部门高管已被上海当局召见谈话，涉及一起庞大的警察数据库盗窃案，这为中国科技巨头内部调查增添了紧迫性，以查明历史上最大规模的数据盗窃案之一是如何发生的。

调查围绕着一批敏感的上海警察数据展开，这些数据涉及估计近10亿中国公民，并于6月下旬在网上以约20万美元的价格出售。网络安全研究人员表示，该数据库的管理仪表板在公共互联网上无密码开放了一年多，使得其内容容易被窃取和删除。

根据对数据库的扫描，研究人员得出结论，该数据库托管在阿里巴巴的云平台上。公司员工也证实了这一关系。

据知情人士透露，在一位匿名卖家在犯罪论坛上发布数据广告并提供样本后，阿里巴巴及其云部门的高级管理人员于7月1日召开虚拟会议，制定紧急应对措施。

据知情人士透露，被上海当局召见的高管包括阿里云副总裁陈雪松，他最近被聘来负责该部门的数字公共安全业务。

记者未能联系到陈雪松置评。阿里巴巴和上海市政府没有立即回应置评请求。

阿里巴巴创始人马云是中国在警务和社会控制中使用数据的早期倡导者。图片来源：Marlene Awaad/Bloomberg一些了解相关情况的员工表示，自发现数据被盗以来，阿里巴巴的工程师已暂时禁用对该被入侵数据库的所有访问，并开始检查相关代码。他们说，入侵的原因尚未确定。

两家网络安全公司告诉《华尔街日报》，根据对该数据库元数据的分析，失窃数据是用几年前就过时的技术存储在阿里云上的，缺乏基本的安全功能。他们发现该公司托管的十几个其他数据库也存在类似情况。

阿里巴巴没有回应对这些公司调查结果的置评请求。

根据卖家提供的样本，失窃数据据信包含绝大多数中国公民（包括未成年人）的姓名、身份证号码和电话号码，以及向上海警方报案的犯罪记录和其他敏感信息。尽管全球范围内数据库未受保护的情况很常见，但网络安全研究人员表示，他们震惊地看到如此大量的这种级别的敏感信息被公开兜售。

此次数据泄露事件凸显出中国当局通过全国性数字监控系统收集的海量信息，以及政府在保障这些数据安全方面面临的困难。

中国国家行政学院去年11月发布的报告警告称，数字系统处理人才匮乏、与技术供应商缺乏协调，正阻碍政府利用技术更高效管理社会的努力。该学院为政府下属机构。

据熟悉其背景的员工透露，被上海当局召见的阿里云高管陈先生，此前曾是公安和信息技术领域的政府资助工程师。目前尚不清楚他们的会议讨论了哪些内容。

据知情员工和一位云服务客户透露，随着调查持续，阿里云已要求员工审查关键客户合同中的数据库架构、配置等细节，特别是政府机构和金融机构等拥有专属私有云资源的客户。

对于网络安全研究人员上周发现被盗警察数据库仪表盘未设密码的情况，阿里巴巴和上海警方均未予以置评。

据扫描网络不安全数据库的两家网络安全公司LeakIX和SecurityDiscovery的研究人员称，该仪表盘不仅没有密码，而且无法添加密码保护。

研究人员表示，阿里巴巴用于存储数据的数据库及访问管理数据的仪表盘，使用的都是多年前的旧版本产品。他们指出，这些版本本身不具备任何安全功能（如密码保护），需额外安装插件实现，但相关插件从未被安装。

由于数据库存放在安全的私有服务器上，缺失插件影响不大。但仪表盘却被部署在公共互联网上，如同为数据金库敞开大门，使得内部信息可被随意导出。

该数据库还缺少最新的安全证书——这种用于加密网络流量的数字身份标识已成为行业标配。研究人员称，阿里巴巴最近一次部署新证书是在2017年9月，该证书一年后过期且从未续期。

LeakIX首席技术官格雷戈里·博丁表示，使用过期证书虽未直接增加数据库漏洞，但表明维护工作长期缺失。“至少四年间完全无人维护”，他补充道。

LeakIX和SecurityDiscovery均发现，另有13个阿里云托管的数据库使用相同过时的数据库和仪表盘版本，且采用完全相同的配置——数据库在私有服务器，仪表盘在公共互联网。博丁指出，这13个数据库都使用了同一张已过期的证书，严重违背安全最佳实践。

根据LeakIX的记录，几乎所有数据库都已被公开超过一年。其中两个数据库包含的数据量甚至超过了从上海警方窃取的23TB：一个超过60TB，另一个超过92TB。

“对于如此规模的数据库，即使只暴露一天，也足以让恶意行为者抓取和收集数据，“SecurityDiscovery的所有者鲍勃·迪亚琴科说。

7月初，在数据泄露事件开始在社交媒体上引起广泛关注后不久，阿里巴巴就切断了所有14个数据库的公共访问，博丁和迪亚琴科先生表示。

阿里巴巴创始人马云是数据在警务和社会控制中应用的早期倡导者。2016年，他向150万政法官员发表演讲，称对海量数据的分析将帮助公安部门追踪小偷并在恐怖袭击发生前进行预测。

根据政府支持的智库CCW Research的数据，阿里云是中国最大的公共云服务提供商，但在满足需要私有云系统的客户需求方面，远远落后于华为技术有限公司等竞争对手。阿里云在截至3月的季度实现了盈利，成为中国首家在烧钱的云服务领域实现盈利的提供商。

阿里巴巴此前曾因其数据安全实践受到审查。去年12月，中国科技主管部门暂停了与阿里云为期六个月的网络安全合作，原因是北京方面指控该公司未及时向其报告一个全球软件漏洞。

去年，在当地电信监管机构的压力下，该公司披露了2019年一名员工将客户联系信息泄露给经销商的事件。

本周早些时候，上海当局宣布对政府机构、国有企业、大型科技公司和其他实体的关键网站和平台进行网络安全审查，特别关注那些包含超过100万人个人数据的平台。

Raffaele Huang对本文有贡献。

联系作者 Karen Hao，邮箱：[email protected]

本文发表于2022年7月15日的印刷版，标题为《阿里巴巴因数据盗窃接受调查》。