中共武警在上海街頭的監控攝像頭下執勤。(2022年1月20日)
在黑客自稱獲取了中國上海公安局系統內十億中國公民數據和警務記錄並在網上兜售後,網絡安全公司透露,上海警方今年曾因這一事件遭黑客勒索。網絡安全專家表示,上海公安數據庫的安全漏洞存在了14個月之久,數億公民數據泄露威脅了公民的私隱安全,也是對中共大數據治國政策的沉重打擊。
泄露事件範圍大、可信度高
此次泄露的上海公安記錄包含了近10億中國公民的姓名、身份證號碼、地址、電話號等個人身份信息,其中還包括公民的警務報告、民事和刑事案件的涉案信息。據《華爾街日報》星期三(7月6日)報道,西方網絡安全公司表示,有關這個數據庫的管理和訪問功能的一個控制面板(dashboard)自2021年開始一直保持打開狀態,任何有基本技術知識的人都可以進入複製或竊取其內容。
網絡安全研究公司Security Discovery透露,該公司今年早些時候通過網絡掃描發現,今年6月中旬,在持續暴露了一年多後,數據庫中的數據突然被清除,取而代之的是一則寫給上海警方的勒索消息。據報道,黑客向上海公安勒索10個比特幣(價值約合20萬美元)。
上海公安顯然沒有支付這筆勒索。中國時間6月30日下午,一名署名ChinaDan的用戶在黑客論壇BreachForums上發帖說,以10比特幣(約合20萬美元)的價格出售這批包含10億中國公民、總量超過23TB的數據。
由於數據庫在網絡空間暴露時間過長,這些數據很可能在6月30日之前就已經開始傳播,目前不清楚有多少人已經獲得了這些數據。
網絡空間似乎還出現了對這筆海量數據買賣的討價還價和倒賣。一名署名defa的用戶在Breach Forums論壇7月6日發帖說:「20萬美元太貴了」,願意以10萬美元回收上海公安的泄露數據。
同一天,該網站有用戶以10萬美元要價,出售這批數據的部分內容。
此前有消息說,發生泄漏事件的上海公安數據庫由中國阿里巴巴的子公司阿里雲託管。美國有線電視新聞網(CNN)報道說,阿里巴巴表示「正在調查此事」,並將公佈任何最新消息。
黑客在販售數據的同時,提供了25萬個公民的信息樣本,供公眾「免費」調閱。許多西方媒體通過撥打樣本數據庫中的個人電話,證實了其中一些個人信息的真實性。
人口學家、美國威斯康星大學麥迪遜分校資深科學家易富賢在研究泄露的25萬人樣本信息後說,這批數據的代表性很強,數據的分散度和隨機性「令人驚訝」。他在推特上發文說:「這位所謂的黑客(內鬼)可能確實掌握全國的人口數據,可能真的掌握其所聲稱的10億人口數據。」
他說:「上海公安泄露的25萬人口數據在各姓氏中分散度大,隨機性強……這25萬人包括了幾乎所有的縣,甚至幾乎所有人口上萬人的鄉鎮。」
截至發稿時,上海市公安局沒有回覆美國之音通過電子郵件發出的置評請求。上海市政府和中國網絡安全部門尚未對此次事件做出公開表態。
泄露讓中共政府顏面掃地
近年來,北京方面稱,國家將數據安全和私隱保護作為重中之重,通過了一系列法律法規,旨在限制包括個人信息在內的敏感數據的商業收集,並要求數據在國內儲存。與此同時,中共政府繼續通過全國性的數字監控設備收集大量數據,以對中國社會施加更嚴格的控制。
分析人士對上海公安當局掌握全國上億公民用戶數據的能力感到驚訝。一些中國科技政策專家表示,此次上海公安雲數據庫泄露的數量驚人,這將讓以「天地一體、雲網融合」特徵自居的中國科技政策制定和執行者顏面掃地。
荷蘭萊登大學現代中國研究助理教授、史丹福大學網絡政策中心「數字中國」(DigiChina)項目共同創辦人羅吉爾·克里默斯(Rogier Creemers)說:「去年我們看到(中國出台)數據安全法和個人信息保護法,但它(中共政府)同時也非常重視數據在政府治理中的作用。這種觀點認為,當政府擁有更多的數據,並且這些數據可以在不同的政府實體之間、在地方和中央之間更自由地流動時,政府可以更好地發揮作用。」
克里默斯說:「這樣看來,這次黑客事件當然讓他們十分難堪。」
「中共政府自身的數字野心帶來了風險,這起事件削減人們對中共政府管控這種風險能力的信任和信心。」他對美國之音說。
美國喬治梅森大學客座教授、網絡安全專家黃基禎認為,此次上海公安數據泄露事件代表的是對「中共政府數據化發展」的一種打擊。
黃基禎目前同時擔任美國非政府組織全球公共事務研究所(iGAR)主席。他說,由於中國政府嚴格要求數據的本地化(data localization),政府對公民信息保護不力將加劇人民對政府的不信任。
「這個中國大陸地區的數據在地化,代表政府掌握人民很多重要的數據。如果對政府不信任持續的惡化下去,這些數據就會造成很大的影響。」他說。
「上海泄密事件……增加了人民對政府更加的不信任——原本是相信政府,把個人資料給政府保管,而現在資料外泄,變成對政府越來越不信任。」
中國信息濫用風險可能大幅增加
中共當局目前對上海公安信息泄露事件的消息嚴防死守。在微博上,對「上海公安數據」或「上海公安數據泄露」的關鍵詞搜索未能返回任何有關結果。許多被西方媒體聯繫到的信息泄露當事人對記者報出他們的個人信息感到驚訝。
雖然目前不清楚被泄露數據的傳播廣度,但在網絡安全信息專家看來,信息被濫用的可能極高。
網絡安全專家黃基禎說,公民的個人資料外泄可能導致假身份證件真假難辨,這對機場、政府設施等關鍵場所的人員檢驗帶來挑戰。
他說:「以海量數據的角度去看,(通過)研判這些個人的生物特徵,可以做出假的ID(身份證件),來進入一些場所或系統;更別說,假的ID會被用來申請假的信用卡,銀行帳號等。」
荷蘭萊登大學的克里默斯指出:「作為一個警察數據庫,它包含了人們犯罪記錄的信息,如果你想勒索某人,這可能非常有用。」
美國有線電視新聞網CNN對數據庫樣本的分析發現,其中包括中國警方對2001年至2019年間的案件記錄,雖然大多數條目屬於民事糾紛,但也包括例如欺詐、強姦等刑事案件記錄。
由於信息遭泄露的人數可能接近中國人口的70%,有分析說,這些信息可能也有情報用途。
美國退休高級情報事務官員、情報事務專家尼古拉斯·埃菲迪米亞德斯對美國之音說:「(中國)平時的系統很不透明,這些類型的數據可以被用於識別外界感興趣的人。」
黃基禎說,此次信息泄露事件雖然人為疏忽佔主要因素,但人為因素和系統程序「其實是一體兩面」,泄露事件凸顯了中共政府自身對公民私隱安全保護不到位。
他說:「現在中國大陸推行數據化資產……習近平希望讓各個地方的數據都可以變成國家的資產,這樣的概念,我覺得這次的公安事件無疑也是對這種政策的一個打擊。「
「這肯定給上海地方政府帶來一個震撼。會不會有政治鬥爭的問題在裏面,也是值得關注。」
