中共上海公安局資料庫近日疑似發生大規模個資外洩,內容包括身分證、住址、手機號碼等資料,約有10億中國人民被波及,總體資料量將近24TB。若內容屬實,這將是中共史上最大的資料洩露事件之一。
網名為「ChinaDan」的用戶,上週在駭客論壇Breach Forums上發文表示,聲稱擁有中共上海國家警察局(SHGA)的資料庫,內容有10億中國公民的個資與幾十億案件記錄,資料量非常龐大,高達23.88TB(1TB等於1024GB),若想取得資料須支付10個比特幣(相當於約20萬美元)。
根據該名駭客免費提供的25萬筆資料「樣本」內容顯示,遭洩漏的警情資料內容非常詳細,包括報案時間、報案姓名、性別、年齡、出生地地址、身分證、照片,住址、手機號碼、報案人描述的具體事件內容、有無顛覆國家罪等等,包含了中國多個省市的資料。報案時間跨度從2010年至2016年。
經記者查閱後發現,除了一般民眾報案內容外,還有多起因為接到法輪功宣傳電話、發現法輪功的宣傳冊、真相資料、收到手機彩信(可傳送文字、圖像、影音的通訊服務平臺)內容、甚至撿到一張一元紙幣上有法輪功內容,警方就派員到現場了解,並要求有類似情況民眾要即時向派出所反應。
外洩地區跨度大 連西藏千人小縣都有
《大紀元時報》無法聯繫到ChinaDan,相關貼文上週末在中國微博和微信社交媒體平臺上得到廣泛討論。在週日下午,微博上的「上海某機構資料庫疑似洩露,數十億中國公民資料報價20萬美元」和「訊息洩露」標籤已遭屏蔽。
中國人口問題專家易富賢7月4日在推特上表示,上海公安資料庫洩露10億人口資料。其中25萬人資料已公開,「我拿到了分年齡、性別的人口資料,在進行詳細分析,中國人口危機的嚴重程度出乎大家的想像。」
易富賢還說,這25萬人的資料非常隨機,目前搜索到4,775個獨立縣區名(不同的寫法有重複,全中國實際不到3千個縣),應覆蓋了中國每個縣,包括黑龍江漠河、雲南騰衝、新疆莎車,10萬人的湖南古丈縣,2萬人的陝西佛坪縣,甚至連幾千人的西藏阿里地區札達縣都有。
專家:資料有可能是真實的
對於這次疑似上海公安系統資料外洩事件,中國政法大學國際法碩士賴建平7月4日接受《大紀元時報》採訪時表示,無法確認此次洩露事件所涉資料樣本真偽。且因樣本內容太多,絕大部分未有翻看,訊息恐有缺漏。
賴建平表示,他核對警情資料的相關資料,包含具體案件內容、受理資料(誰寫的,受理、備案、結案和其他一些時間,受理單位訊息,絕大部分沒填)、案發地址及其所屬轄區和身分資料(一些證件照片的鏈結,暫不清楚媒體文件是否一併洩露。包括身分證、居住證、駕駛證、護照,受管控者還有看守所內及旅館登記照片。)
另外,還有物流資料(疑似相關單位直接提交給中共公安),也就是快遞單上的內容,包括姓名和電話號碼都有經過處理。賴建平表示,針對該消息,已出現中共網軍汙染評論區,戰術拙劣老套,但其迅速程度,似乎加強了洩漏資料的真實性。
網路觀察人士古河則認為,消息應是真實的,他認為是內部人所為,「上海公安這些資料是很值錢的,應該是故意的,因為是可以賣錢的,一定是他們內部把這個資料賣了。」
他認為上海公安系統雲端服務,肯定有漏洞可鑽,但在這個事件中可能性很低,他們會找個藉口,說是被駭客攻擊。
「這個資料庫非常龐大,裡面一定涉及方方面面,比如涉及新疆人口外流上海部分,比如維權人士的訊息。上海公安系統被駭客打進來,不太可能,因為不僅僅上海,全國都有這些資料庫,為什麼只有上海被攻擊呢,100%是內部賣錢。」
工程師:中共資安其實漏洞百出
原華為南京研究所工程師金淳也認為消息可信,但他說應該是被駭客攻破。「任何中共的網路系統都有漏洞,駭客攻破是有可能的。中共沒必要製造這種假消息,對自己不利。」
他認為,「其他反對中共的民運組織,或者其他反對中共的組織也不太可能製造這種消息……這些資料是否真實,是可以核實的,所以我認為是無法造假的。」
他認為,應該不是直接的內鬼,因為風險太大,中國人也沒那個直接動機。更有可能的是,因為技術人員發現漏洞不及時修復,也不及時上報,消極怠工。在上海「疫情都忙不過來了,還管那個網路漏洞幹嘛?」
金淳曾在華為做過測試雲端系統漏洞的工作,他發現了幾十個網路安全漏洞,如果能善於利用這些漏洞,是有可能將華為雲端儲存的資料洩露。上海公安的系統,甚至不如華為的雲端系統安全,更有可能被攻破。金淳表示,中共的所謂網路安全,表面上固若金湯,實際上漏洞百出。
這次事件也帶來民眾個資安全的隱憂,金淳則表示,其實中國普通民眾的個資本來對中共就是透明的,中共才是民眾個資安全最大的侵犯者。◇