在黑客自称获取了中国上海公安局系统内十亿中国公民数据和警务记录并在网上兜售后,网络安全公司透露,上海警方今年曾因这一事件遭黑客勒索。网络安全专家表示,上海公安数据库的安全漏洞存在了14个月之久,数亿公民数据泄露威胁了公民的隐私安全,也是对中国大数据治国政策的沉重打击。
泄露事件范围大、可信度高
此次泄露的上海公安记录包含了近10亿中国公民的姓名、身份证号码、地址、电话号等个人身份信息,其中还包括公民的警务报告、民事和刑事案件的涉案信息。据《华尔街日报》星期三(7月6日)报道,西方网络安全公司表示,有关这个数据库的管理和访问功能的一个控制面板(dashboard)自2021年开始一直保持打开状态,任何有基本技术知识的人都可以进入复制或窃取其内容。
网络安全研究公司Security Discovery透露,该公司今年早些时候通过网络扫描发现,今年6月中旬,在持续暴露了一年多后,数据库中的数据突然被清除,取而代之的是一则写给上海警方的勒索消息。据报道,黑客向上海公安勒索10个比特币(价值约合20万美元)。
上海公安显然没有支付这笔勒索。中国时间6月30日下午,一名署名ChinaDan的用户在黑客论坛BreachForums上发帖说,以10比特币(约合20万美元)的价格出售这批包含10亿中国公民、总量超过23TB的数据。
由于数据库在网络空间暴露时间过长,这些数据很可能在6月30日之前就已经开始传播,目前不清楚有多少人已经获得了这些数据。
网络空间似乎还出现了对这笔海量数据买卖的讨价还价和倒卖。一名署名defa的用户在Breach Forums论坛7月6日发帖说:“20万美元太贵了”,愿意以10万美元回收上海公安的泄露数据。
同一天,该网站有用户以10万美元要价,出售这批数据的部分内容。
此前有消息说,发生泄漏事件的上海公安数据库由中国阿里巴巴的子公司阿里云托管。美国有线电视新闻网(CNN)报道说,阿里巴巴表示“正在调查此事”,并将公布任何最新消息。
黑客在贩售数据的同时,提供了25万个公民的信息样本,供公众“免费”调阅。许多西方媒体通过拨打样本数据库中的个人电话,证实了其中一些个人信息的真实性。
人口学家、美国威斯康辛大学麦迪逊分校资深科学家易富贤在研究泄露的25万人样本信息后说,这批数据的代表性很强,数据的分散度和随机性“令人惊讶”。他在推特上发文说:“这位所谓的黑客(内鬼)可能确实掌握全国的人口数据,可能真的掌握其所声称的10亿人口数据。”
他说:“上海公安泄露的25万人口数据在各姓氏中分散度大,随机性强……这25万人包括了几乎所有的县,甚至几乎所有人口上万人的乡镇。”
截至发稿时,上海市公安局没有回复美国之音通过电子邮件发出的置评请求。上海市政府和中国网络安全部门尚未对此次事件做出公开表态。
泄露让中国政府颜面扫地
近年来,北京方面称,国家将数据安全和隐私保护作为重中之重,通过了一系列法律法规,旨在限制包括个人信息在内的敏感数据的商业收集,并要求数据在国内储存。与此同时,中国政府继续通过全国性的数字监控设备收集大量数据,以对中国社会施加更严格的控制。
分析人士对上海公安当局掌握全国上亿公民用户数据的能力感到惊讶。一些中国科技政策专家表示,此次上海公安云数据库泄露的数量惊人,这将让以“天地一体、云网融合”特征自居的中国科技政策制定和执行者颜面扫地。
荷兰莱登大学现代中国研究助理教授、斯坦福大学网络政策中心“数字中国”(DigiChina)项目共同创办人罗吉尔·克里默斯(Rogier Creemers)说:“去年我们看到(中国出台)数据安全法和个人信息保护法,但它(中国政府)同时也非常重视数据在政府治理中的作用。这种观点认为,当政府拥有更多的数据,并且这些数据可以在不同的政府实体之间、在地方和中央之间更自由地流动时,政府可以更好地发挥作用。”
克里默斯说:“这样看来,这次黑客事件当然让他们十分难堪。”
“中国政府自身的数字野心带来了风险,这起事件削减人们对中国政府管控这种风险能力的信任和信心。”他对美国之音说。
美国乔治梅森大学客座教授、网络安全专家黄基祯认为,此次上海公安数据泄露事件代表的是对“中国政府数据化发展”的一种打击。
黄基祯目前同时担任美国非政府组织全球公共事务研究所(iGAR)主席。他说,由于中国政府严格要求数据的本地化(data localization),政府对公民信息保护不力将加剧人民对政府的不信任。
“这个中国大陆地区的数据在地化,代表政府掌握人民很多重要的数据。如果对政府不信任持续的恶化下去,这些数据就会造成很大的影响。”他说。
“上海泄密事件……增加了人民对政府更加的不信任——原本是相信政府,把个人资料给政府保管,而现在资料外泄,变成对政府越来越不信任。”
中国信息滥用风险可能大幅增加
中国当局目前对上海公安信息泄露事件的消息严防死守。在微博上,对“上海公安数据”或“上海公安数据泄露”的关键词搜索未能返回任何有关结果。许多被西方媒体联系到的信息泄露当事人对记者报出他们的个人信息感到惊讶。
虽然目前不清楚被泄露数据的传播广度,但在网络安全信息专家看来,信息被滥用的可能极高。
网络安全专家黄基祯说,公民的个人资料外泄可能导致假身份证件真假难辨,这对机场、政府设施等关键场所的人员检验带来挑战。
他说:“以海量数据的角度去看,(通过)研判这些个人的生物特征,可以做出假的ID(身份证件),来进入一些场所或系统;更别说,假的ID会被用来申请假的信用卡,银行帐号等。”
荷兰莱登大学的克里默斯指出: “作为一个警察数据库,它包含了人们犯罪记录的信息,如果你想勒索某人,这可能非常有用。”
美国有线电视新闻网CNN对数据库样本的分析发现,其中包括中国警方对2001年至2019年间的案件记录,虽然大多数条目属于民事纠纷,但也包括例如欺诈、强奸等刑事案件记录。
由于信息遭泄露的人数可能接近中国人口的70%,有分析说,这些信息可能也有情报用途。
美国退休高级情报事务官员、情报事务专家尼古拉斯·埃菲迪米亚德斯对美国之音说:“(中国)平时的系统很不透明,这些类型的数据可以被用于识别外界感兴趣的人。”
黄基祯说,此次信息泄露事件虽然人为疏忽占主要因素,但人为因素和系统程序“其实是一体两面”,泄露事件凸显了中国政府自身对公民隐私安全保护不到位。
他说:“现在中国大陆推行数据化资产……习近平希望让各个地方的数据都可以变成国家的资产,这样的概念,我觉得这次的公安事件无疑也是对这种政策的一个打击。“
“这肯定给上海地方政府带来一个震撼。会不会有政治斗争的问题在里面,也是值得关注。”