几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是由于中国当局迅速封锁了对这一大规模的、令人尴尬的泄漏事件的任何讨论。 之后华尔街日报就该事件写了一篇后续文章，将此事放在更广泛的背景下。 他们写道： 「此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的 Telegram 社区中出售，有时甚至是免费提供。根据华尔街日报的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构 LeakIX 称，还有数以万计来自中国的数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过兆字节，是地球上所有国家中最大的数据量。」 附图显示，中国曝光的数据量不仅大于美国，而且远远超过世界其他国家的泄露水平。 该报道发现有多个人声称要提供掌握着亿中国公民信息的数据集 其中一个人想要万美元左右，另一个人准备以万美元出售。 围绕黑客的宣传似乎也鼓励了其他人加入进来。 一个自称是中国中部河南省警察的用户受到上海泄漏事件的“启发”，声称要以一个比特币/或大约万美元的价格提供万公民的敏感个人信息。 第三个帖子宣称持有中国疾病控制中心的万条记录，售价仅美元。几天后，第四个帖子又出现了，以美元的价格出售万份中国公民的姓名、电话号码、地址和政府身份证号码的记录。 更不幸的是，该报道错误地声称 - 推动这种大规模高度敏感的个人数据交易蓬勃发展的一个关键因素是：“中国的国家工作人员工资很低，因此很容易被贿赂”。这是事实，但不是原因。 原因是政府长期实施的强行的大规模数据收集。没有收集就不会有泄露。为监控目的而保存在数据库中的数据越多，就越难控制，就越容易在一次黑客攻击中渗出大量数据，这些数据可以在黑市上以大笔金额出售。 几周前的大泄漏很可能不是巧合，它来自上海，上海已经有了世界上最完整的监控系统之一并运行了足够长时间。 上海是首批在年公布“具有人工智能功能的全面整合数据平台”的城市之一。根据国家媒体对上海警察局一位局长的采访，该平台从公安、公共医疗和交通等各种政府职能部门，以及提供快递和食品配送的私营公司拉来数据。 这意味着上海的数据比其他地方的更多、更丰富。 只需要一个配置错误的数据库，或者一个不诚实的警察，十亿中国公民的隐私人权就会消失，可能永远消失。 道德或国际法不太可能约束监视本国公民的政府。 但是您肯定知道，能改变这种噩梦的方法是什么。 #Digitalleakage #China #Privacy #Humanrights

传阿里巴巴泄露上海警方数据库，涉及十亿人数据，被当局约谈

传阿里巴巴泄露上海警方数据库，涉及十亿人数据，被当局约谈 上周有外媒报道，有黑客在犯罪论坛上兜售据称从上海警方数据库窃取的涉及十亿中国公民数据，并提供了含75万条记录的数据样本，内含姓名、身份证号码、电话号码、生日和出生地，及详细的警情信息等重要个人资料。 《纽约时报》称拨打了样本中一些人的电话，证实了数据细节，而中国有关部门拒绝回答记者有关数据泄露的问题，同时中国社交媒体上有关数据泄露的相关话题和讨论事件的用户均被封禁。 《华尔街日报》引述知情人士称，由于相关数据托管在阿里巴巴的云平台，近日阿里巴巴已被上海警方约谈。由中国官方全资拥有的港媒《大公报》也报道了阿里巴巴被上海警方约谈的消息。 #阿里巴巴 原文链接 《华尔街日报》 《纽约时报中文网》 《华尔街日报》 《大公网》

WSJ：中国敏感数据暴露量居世界之最，美国屈居第二

WSJ：中国敏感数据暴露量居世界之最，美国屈居第二 中国政府为了保护敏感数据建立了网络安全和数据保护制度，其严格程度在全球数一数二。然而尽管采取了这些措施，一个跨境地下市场还是围绕着中国公民的数据交易如火如荼地发展起来。 这些数据中有很大一部分来自中国政府的另一个大型安全项目：庞大的监控网络。 本月早些时候，在一个颇为热门的网络犯罪论坛上，一名匿名用户挂出了从上海警方窃取的约10亿中国公民的数据进行出售。这是历史上最大的信息窃取案之一，包含极为敏感的数据，例如身份证号码、犯罪记录以及详细的案件摘要，例如强奸和家庭暴力指控等。 此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的Telegram社区出售，有时也是免费的。根据《华尔街日报》的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构LeakIX称，中国还有数万个数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700TB，是所有国家中最大的数据量。 公安部、中国网信办和上海市政府没有对评论请求作出回应。 所有国家都在努力保持其数据的保护。LeakIX的分析显示，美国仅次于中国，有近540TB的数据在公共互联网上被公开。然而，中国的独特之处在于其暴露数据的全面性和敏感性这是中国将来自政府和企业的多种信息流集中在国营监控平台上的结果。

近日有黑客声称出售上海公安数据库，包含十亿中国公民的信息。若事件属实，将会是中国有史以来最大规模的数据泄露。

近日有黑客声称出售上海公安数据库，包含十亿中国公民的信息。若事件属实，将会是中国有史以来最大规模的数据泄露。 6月30日8时，有位帐号名叫“ChinaDan”的用户在某论坛发布消息称：“上海公安数据库（SHGA.gov.cn）遭到泄露，数据详情有十亿中国公民信息和数十亿案件记录，包括姓名、地址、出生地、身份证、手机号及所有犯罪/案件详情。”该用户还称，“我以10比特币的价格出售所有这些数据。” 黑客发布的数据样本据称包括了75万条记录。除了个人信息外，网传截图显示，数据库信息还包含巨量且详尽的警情信息，涉及报案时间、报案人电话、报案人描述的具体事件内容等。例如，“2005年5月9日0时30许，被害人宁某某打110报案称：其被一男子尾随至海湾旅游区供销社商品房某号门口时，被该男子用手捂住嘴，抢走被害人随身携带的黄色拎包……”又如，“2018年7月27日，报警人在黄浦某小区，称有一个一米六的二十多岁山东口音女子在上址招嫖，无人望风，不方便指认，请民警到场处理。”数据最早可追溯至1995年。 《华尔街日报》记者通过电话号码对泄漏记录进行了核实，其中5人确认了包括报案细节在内的所有信息，另有4人在挂断电话前确认了诸如名字之类的基本信息。一名女士对泄漏的详细信息的准确性感到震惊，询问记者信息是否来自报案信息中她在2016年遗失的iPhone。一名曾被骗取3万元的男子在听到他的数据被泄漏后形容大家是在“裸奔”。不过也有几个号码无效或不再使用。 即使微博等社交媒体极力封锁消息，但仍引发大量关注。有网民呼吁官方回应：“震惊，也不知道真的假的，要假的赶紧辟谣啊！”“说实话我的信息泄露与否已经无所谓了，但掌握国家机密的人和科研人员的信息，这要泄露了，间谍窃听那简直不要太容易。” 上海当局尚未对该事件做出公开回应。上海市公安局、上海市政府新闻办和中国网信办没有立即回复置评请求。加密货币交易所币安创始人兼首席执行官赵长鹏周一称，该公司检测到来自一个亚洲国家的十亿公民记录被泄漏，增加了对潜在受影响用户的验证程序。不过他未具体说明是哪一个国家。 目前尚不清楚黑客是如何进入上海公安数据库的。网络安全专家在网上流行的一种解释称，此次入侵涉及第三方云服务。有说法称，他们通过托管该数据库的阿里云获得了访问权限。阿里巴巴称，正在调查该事件。 （星岛日报，华尔街日报，路透社，彭博社，Engadget）

中国数据泄漏的庞大规模刺激了数据黑市的兴起

中国数据泄漏的庞大规模刺激了数据黑市的兴起 中国数据泄漏的规模之大，令人心寒。 在夏季的一起事件中，未知的黑客在发现一个不安全的上海警方数据库后，声称盗取了约 10 亿中国居民的数据，暴露了政府机构在存储公民信息方面的重大漏洞。 据 Group-IB 的何飞翔称，在这一事件之前，有三个与中国有关的数据库在 Breach Forums 上销售。该公司发现，7 月份，这一数字猛增到 17 个。研究人员无法确认当月发布的数据库中所有信息的合法性。 在明显的上海泄密事件发生后的 10 天内，总部位于旧金山的 Reposify 有限公司的研究人员在扫描中国政府网站的软件漏洞时，发现了超过 12,700 个暴露的资产包括网络服务器和远程访问站点。该公司说，这还包括 1436 个暴露的数据库，"可能占了代表中国公民的数百万潜在可访问数据点"。 上海当局和中国的互联网监管机构没有公开处理警察和卫生系统数据的泄露问题，对这些事件的讨论也被当地社交媒体的审查员清除了。上海市政府和中国网信办（主要的互联网监管机构）没有对要求发表评论的多份传真作出回应。 安全公司 Acronis International GmbH 的联合创始人 Stanislav Pratossov 说："我们可以看到数以万计，仅在中国就有超过 2 万台服务器是完全开放的。这种情况到处都在发生。在中国，我想，数量多得离谱，只是因为中国经济的规模，中国的服务器数量是巨大的。" 分析师说，在远离公众视野的地方，他们预计有关政府机构会进行内部审查，并对参与数据管理的人进行更严格的审查。 与此同时，黑客们正在为更多的数据泄露做准备。地下数据库论坛上的一位新用户在 7 月加入该网站后，声称要出售上海卫生系统的数据，并称他们有更多泄露的信息可以分享。"以我的愚见，再多的网络安全[或]数据保护也无法阻止数据泄露的发生，"这位不愿透露姓名的用户写道。 节选 |

华尔街日报: 中国警方的数据库对外网开放访问了一年多，导致泄密

华尔街日报: 中国警方的数据库对外网开放访问了一年多，导致泄密 今年早些时候发现安全漏洞的网络安全专家说，这可能是历史上最大的个人数据盗窃案之一，也是中国最大的已知网络安全漏洞，因为一个常见的漏洞使数据在互联网上被公开。 据网络安全专家称，上海警方的记录包括近 10 亿中国公民的姓名、政府身份证号码、电话号码和事件报告，是安全存储的。但他们说，一个用于管理和访问数据的仪表板被设置在一个公共网站上，而且没有密码，这使得任何具有相对基本技术知识的人都可以随意进入，复制或窃取信息库。 暗网情报公司 Shadowbyte 的创始人 Vinny Troia 说："他们将这么多数据暴露在外，这太疯狂了。" 网络安全研究公司 SecurityDiscovery 的老板鲍勃-迪亚琴科（Bob Diachenko）表示，该数据库从 2021 年 4 月到上个月中旬一直暴露在外面，当时其数据突然被清除，取而代之的是一张赎金字条，上海警方发现了这一点。 根据 Diachenko 先生提供的截图，"你的数据是安全的"，赎金字条上写道。"联系你的数据......恢复 10btc"，意思是数据将以 10 个比特币，大约 20 万美元的价格被归还。 这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合，以换取对一个数据库的访问权，该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。 这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉，不仅是因为泄漏的规模，还因为政府数据库中的信息的敏感性。 上海市政府和中国网信办（该国的互联网监管机构）没有对评论请求作出回应。 网络安全专家拼凑出了数据库真实性的新证据，以及这么多私人信息如何落入网络犯罪分子手中的细节。 他们说，仪表盘就像一扇通向数据库的大门，即使在所有数据丢失后也没有关闭，直到这个漏洞开始得到公众的广泛关注。特罗亚先生说，窃取数据的人很可能是正在兜售数据的同一个实体。 他说："很常见的是，如果赎金受害者不支付赎金，那么他们会试图在网上出售数据。" 无法确定该数据库被公开访问是偶然还是故意的，也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说，这种漏洞很常见，但他们都表示，发现如此规模的不安全数据库令他们感到震惊。 两人都说，他们也证实了匿名泄密者的说法，即它包括超过 23 兆字节的数据，涵盖多达 10 亿人。他们说，一个名为 "person_address_label_info_master "的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片，长度接近 9.7 亿行，这表明它包括同样多的人的详细信息，假设没有重复的条目。 该文件标记了有犯罪史的个人，包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 "应该被密切关注的人 "的标签，这是中国政府监控系统中经常使用的一种称呼，以表示被认为对社会秩序构成威胁的人。 数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。 (付费墙)