传阿里巴巴泄露上海警方数据库，涉及十亿人数据，被当局约谈

传阿里巴巴泄露上海警方数据库，涉及十亿人数据，被当局约谈 上周有外媒报道，有黑客在犯罪论坛上兜售据称从上海警方数据库窃取的涉及十亿中国公民数据，并提供了含75万条记录的数据样本，内含姓名、身份证号码、电话号码、生日和出生地，及详细的警情信息等重要个人资料。 《纽约时报》称拨打了样本中一些人的电话，证实了数据细节，而中国有关部门拒绝回答记者有关数据泄露的问题，同时中国社交媒体上有关数据泄露的相关话题和讨论事件的用户均被封禁。 《华尔街日报》引述知情人士称，由于相关数据托管在阿里巴巴的云平台，近日阿里巴巴已被上海警方约谈。由中国官方全资拥有的港媒《大公报》也报道了阿里巴巴被上海警方约谈的消息。 #阿里巴巴 原文链接 《华尔街日报》 《纽约时报中文网》 《华尔街日报》 《大公网》

钉钉用户数据库疑似泄露

钉钉用户数据库疑似泄露 有黑客在论坛出售钉钉用户的数据，信息包含用户图片的链接以及联系人姓名、地址、电子邮件、电话和有关工作绩效的详细信息。 该包总大小为626mb，压缩后为2.1 mb。黑客称由于在导出过程中连接被切断，他没有获取到整个数据库。

本次数据泄露包含- 公民身份信息 （宣称约 亿条）

本次数据泄露包含内容： - 公民身份信息 （宣称约 亿条） - 身份证号（含出生日期、性别、户籍所在地） - 姓名 - 常住地址 - 出生地 - 民族 - 最高学历 - 婚姻状态 - 兵役信息（含身高、体重） - 职业分类 - 宗教信仰 - 政治面貌 - 违法记录（含违法类型、特别关注类型） - 照片（来源：身份证、居住证、驾驶证、护照、出境边检、旅馆登记、网吧登记、拘留所、看守所等） - 报警记录 - 发生地点（地址+经纬度） - 发生时间 - 案件类型 - 案件状态 - 案情描述 - 报警人（身份证号、姓名、手机号码） - 处理人（所在派出所、编号） - 电话号码、姓名、地址关联信息（宣称约 亿条） - 购物、快递、支付 - 外卖 - 票务、出行记录 - 政务 （来源：技侦、经侦、出入境管理、娱乐场所登记、交通管理、七类重点人员、网上办案、禁毒、典当行、拘留所、看守所、强制戒毒所，房屋登记、居住证、常住人口、户籍人员、实有人口等） - 医疗记录 - 燃气

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码 短信路由服务有助于将时间紧迫的短信通过不同地区的蜂窝网络和供应商发送到正确的目的地，例如用户接收短信安全代码或登录在线服务的链接。YX International 声称每天发送500 万条短信。但是，这家技术公司将其一个内部数据库暴露在互联网上，没有设置密码，任何人只需知道数据库的公共 IP 地址，就可以使用网络浏览器访问其中的敏感数据。阿努拉格-森（Anurag Sen）是一位白帽黑客黑客，也是发现敏感但无意中泄露到互联网上的数据集的专家，他发现了这个数据库。森说，目前还不清楚该数据库属于谁，也不知道该向谁报告泄漏事件，因此森分享了被曝光数据库的详细信息，以帮助确定其所有者并报告安全漏洞。被曝光的数据库包括发送给用户的短信内容，其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和网络公司的一次性密码和密码重置链接。该数据库的月度日志可追溯到 2023 年 7 月，并且每分钟都在增长。双因素身份验证（2FA）通过向受信任的设备（如某人的手机）发送附加代码，提供更强的保护，防止依赖密码窃取的在线账户劫持。但是，通过短信发送的密码不如基于应用程序的密码生成器等更强大的 2FA 方式安全，因为短信很容易被拦截或曝光，在这种情况下，密码就会从数据库泄露到开放网络上。TechCrunch 在曝光的数据库中发现了与 YX International 相关的几组内部电子邮件地址和相应的密码，并向该公司发出了数据库泄漏的警报。数据库很快就下线了。YX International 的一位没有提供姓名的代表很快做出回应，称公司"封堵了这个漏洞"。YX International 的代表说，服务器没有存储访问日志，因此无法确定除 Sen 之外是否有其他人发现了被暴露的数据库及其内容，并且也未说明数据库暴露了多长时间。 ... PC版： 手机版：

以下是我们刚才收到的私信。

以下是我们刚才收到的私信。 首先声明： 1. 我无法确认此次泄露事件所涉数据样本真伪 2. 数据样本内容太多，绝大部分未有翻看，信息恐有缺漏 据数据样本，经我核对至少有以下信息： 一、警情数据 （一）具体案件内容 （1）案件内容 （2）受理数据（谁写的，受理、备案、结案和其他一些时间，受理单位信息，绝大部分没填） （二）案发地址及其所属辖区 二、身份数据 （一）身份证上包含的信息 （二）学历、兵役状况、政治面貌、宗教、职业 （三）标记 （四）一些证件照片的链接，暂不清楚媒体文件是否一并泄露。包括身份证、居住证、驾驶证、护照，受管控者还有看守所内及旅馆登记照片。 三、物流数据（疑似相关应用直接提交给公安的） 也就是快递单上包含的内容，姓名和电话号码有脱敏处理。 注：针对该消息，已经出现水军污染评论区。战术拙劣老土，但其迅速程度，似乎加强了泄漏数据的真实性。 #leaks #China

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护 储存了数百万张人脸和车牌的中国庞大数据库在互联网上曝光了几个月，然后在8月悄然消失。 虽然它的内容对中国来说似乎不值一提，因为在中国，面部识别是例行公事，国家监控无处不在，但这个被曝光的数据库的规模是惊人的。在高峰期，该数据库拥有超过8亿条记录，是今年规模最大的已知数据安全漏洞之一，仅次于6月份上海警方数据库的10亿条记录的大规模数据泄露。在这两个案例中，数据可能是在无意中暴露的，是人为错误的结果。 被曝光的数据属于一家位于中国东海岸杭州的科技公司，名为新爱电子（Xinai Electronics）。该公司建立了控制人员和车辆进入中国各地工作场所、学校、建筑工地和停车库的系统。它的网站吹嘘其将面部识别技术用于建筑物出入之外的一系列用途，包括人事管理，如工资发放、监控员工出勤和业绩，而其基于云的车牌识别系统允许司机在无人值守的车库中支付停车费，这些车库由工作人员远程管理。 正是通过一个庞大的摄像头网络，新爱公司积累了数百万的脸部指纹和车牌，其网站声称这些数据 "安全地存储 "在其服务器上。 但事实并非如此。 安全研究员Anurag Sen在中国的一个阿里巴巴托管的服务器上发现了该公司暴露的数据库，并请求TechCrunch帮助报告新爱的安全漏洞。 森说，该数据库包含了令人震惊的信息量，而且与日俱增，包括数以亿计的记录和新爱公司拥有的几个域名上托管的图像文件的完整网址。但是，数据库和托管的图像文件都没有密码保护，任何知道去哪里找的人都可以通过网络浏览器访问。 该数据库包括高分辨率人脸照片的链接，包括进入建筑工地的建筑工人和办公室的访客，以及其他个人信息，如个人的姓名、年龄和性别，还有居民身份证号码，这是中国对国民身份证的回应。该数据库还有由新安公司在停车场、车道和其他办公室入口处的摄像头收集的车辆牌照记录。