传阿里巴巴泄露上海警方数据库，涉及十亿人数据，被当局约谈

传阿里巴巴泄露上海警方数据库，涉及十亿人数据，被当局约谈 上周有外媒报道，有黑客在犯罪论坛上兜售据称从上海警方数据库窃取的涉及十亿中国公民数据，并提供了含75万条记录的数据样本，内含姓名、身份证号码、电话号码、生日和出生地，及详细的警情信息等重要个人资料。 《纽约时报》称拨打了样本中一些人的电话，证实了数据细节，而中国有关部门拒绝回答记者有关数据泄露的问题，同时中国社交媒体上有关数据泄露的相关话题和讨论事件的用户均被封禁。 《华尔街日报》引述知情人士称，由于相关数据托管在阿里巴巴的云平台，近日阿里巴巴已被上海警方约谈。由中国官方全资拥有的港媒《大公报》也报道了阿里巴巴被上海警方约谈的消息。 #阿里巴巴 原文链接 《华尔街日报》 《纽约时报中文网》 《华尔街日报》 《大公网》

消息人士称阿里巴巴高管因警方数据库泄露事件被上海当局约见

消息人士称阿里巴巴高管因警方数据库泄露事件被上海当局约见 知情人士透露，阿里巴巴集团控股有限公司(Alibaba Group Holding Ltd., BABA, 简称：阿里巴巴)的云计算部门高管已被上海有关部门约见，涉及一起规模庞大的警方数据库泄露事件。这家中国科技巨头由此更加迫切需要对这宗史上最大数据盗窃案之一的发生原因进行内部调查。 调查是围绕上海警方一批估计涉及近10亿中国公民的敏感数据，这些数据于6月下旬在网上被以大约20万美元价格叫卖。网络安全研究人员说，一个管理该数据库的访问界面在公共互联网上开放了一年多，未设置密码，因此很容易盗取和删除其内容。 根据对该数据库的扫描，研究人员认定，该数据库被托管在阿里巴巴的云平台。该公司员工也证实了这一点。 据知情人士，在一位匿名卖家在网络犯罪论坛上发布数据广告并提供数据样本后，阿里巴巴及其云计算部门的高管7月1日召开网络会议商讨紧急应对措施。

WSJ：中国警方的数据库对外网开放访问了一年多，导致泄密

WSJ：中国警方的数据库对外网开放访问了一年多，导致泄密 今年早些时候发现安全漏洞的网络安全专家说，这可能是历史上最大的个人数据盗窃案之一，也是中国最大的已知网络安全漏洞，因为一个常见的漏洞使数据在互联网上被公开。 据网络安全专家称，上海警方的记录包括近10亿中国公民的姓名、政府身份证号码、电话号码和事件报告，是安全存储的。但他们说，一个用于管理和访问数据的仪表板被设置在一个公共网站上，而且没有密码，这使得任何具有相对基本技术知识的人都可以随意进入，复制或窃取信息库。 暗网情报公司Shadowbyte的创始人Vinny Troia说："他们将这么多数据暴露在外，这太疯狂了。" 网络安全研究公司SecurityDiscovery的老板鲍勃-迪亚琴科（Bob Diachenko）表示，该数据库从2021年4月到上个月中旬一直暴露在外面，当时其数据突然被清除，取而代之的是一张赎金字条，上海警方发现了这一点。 根据Diachenko先生提供的截图，"你的数据是安全的"，赎金字条上写道。"联系你的数据......恢复10btc"，意思是数据将以10个比特币，大约20万美元的价格被归还。 这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合，以换取对一个数据库的访问权，该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。 这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉，不仅是因为泄漏的规模，还因为政府数据库中的信息的敏感性。 上海市政府和中国网信办（该国的互联网监管机构）没有对评论请求作出回应。 网络安全专家拼凑出了数据库真实性的新证据，以及这么多私人信息如何落入网络犯罪分子手中的细节。 他们说，仪表盘就像一扇通向数据库的大门，即使在所有数据丢失后也没有关闭，直到这个漏洞开始得到公众的广泛关注。特罗亚先生说，窃取数据的人很可能是正在兜售数据的同一个实体。 他说："很常见的是，如果赎金受害者不支付赎金，那么他们会试图在网上出售数据。" 无法确定该数据库被公开访问是偶然还是故意的，也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说，这种漏洞很常见，但他们都表示，发现如此规模的不安全数据库令他们感到震惊。 两人都说，他们也证实了匿名泄密者的说法，即它包括超过23兆字节的数据，涵盖多达10亿人。他们说，一个名为 "person_address_label_info_master "的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片，长度接近9.7亿行，这表明它包括同样多的人的详细信息，假设没有重复的条目。 该文件标记了有犯罪史的个人，包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 "应该被密切关注的人 "的标签，这是中国政府监控系统中经常使用的一种称呼，以表示被认为对社会秩序构成威胁的人。 数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。

华尔街日报: 中国警方的数据库对外网开放访问了一年多，导致泄密

华尔街日报: 中国警方的数据库对外网开放访问了一年多，导致泄密 今年早些时候发现安全漏洞的网络安全专家说，这可能是历史上最大的个人数据盗窃案之一，也是中国最大的已知网络安全漏洞，因为一个常见的漏洞使数据在互联网上被公开。 据网络安全专家称，上海警方的记录包括近 10 亿中国公民的姓名、政府身份证号码、电话号码和事件报告，是安全存储的。但他们说，一个用于管理和访问数据的仪表板被设置在一个公共网站上，而且没有密码，这使得任何具有相对基本技术知识的人都可以随意进入，复制或窃取信息库。 暗网情报公司 Shadowbyte 的创始人 Vinny Troia 说："他们将这么多数据暴露在外，这太疯狂了。" 网络安全研究公司 SecurityDiscovery 的老板鲍勃-迪亚琴科（Bob Diachenko）表示，该数据库从 2021 年 4 月到上个月中旬一直暴露在外面，当时其数据突然被清除，取而代之的是一张赎金字条，上海警方发现了这一点。 根据 Diachenko 先生提供的截图，"你的数据是安全的"，赎金字条上写道。"联系你的数据......恢复 10btc"，意思是数据将以 10 个比特币，大约 20 万美元的价格被归还。 这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合，以换取对一个数据库的访问权，该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。 这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉，不仅是因为泄漏的规模，还因为政府数据库中的信息的敏感性。 上海市政府和中国网信办（该国的互联网监管机构）没有对评论请求作出回应。 网络安全专家拼凑出了数据库真实性的新证据，以及这么多私人信息如何落入网络犯罪分子手中的细节。 他们说，仪表盘就像一扇通向数据库的大门，即使在所有数据丢失后也没有关闭，直到这个漏洞开始得到公众的广泛关注。特罗亚先生说，窃取数据的人很可能是正在兜售数据的同一个实体。 他说："很常见的是，如果赎金受害者不支付赎金，那么他们会试图在网上出售数据。" 无法确定该数据库被公开访问是偶然还是故意的，也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说，这种漏洞很常见，但他们都表示，发现如此规模的不安全数据库令他们感到震惊。 两人都说，他们也证实了匿名泄密者的说法，即它包括超过 23 兆字节的数据，涵盖多达 10 亿人。他们说，一个名为 "person_address_label_info_master "的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片，长度接近 9.7 亿行，这表明它包括同样多的人的详细信息，假设没有重复的条目。 该文件标记了有犯罪史的个人，包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 "应该被密切关注的人 "的标签，这是中国政府监控系统中经常使用的一种称呼，以表示被认为对社会秩序构成威胁的人。 数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。 (付费墙)

WSJ：中国警方的数据库对外网开放访问了一年多，导致泄密

WSJ：中国警方的数据库对外网开放访问了一年多，导致泄密 今年早些时候发现安全漏洞的网络安全专家说，这可能是历史上最大的个人数据盗窃案之一，也是中国最大的已知网络安全漏洞，因为一个常见的漏洞使数据在互联网上被公开。 据网络安全专家称，上海警方的记录包括近亿中国公民的姓名、政府身份证号码、电话号码和事件报告，是安全存储的。但他们说，一个用于管理和访问数据的仪表板被设置在一个公共网站上，而且没有密码，这使得任何具有相对基本技术知识的人都可以随意进入，复制或窃取信息库。 暗网情报公司Shadowbyte的创始人Vinny Troia说："他们将这么多数据暴露在外，这太疯狂了。" 网络安全研究公司SecurityDiscovery的老板鲍勃-迪亚琴科（Bob Diachenko）表示，该数据库从年月到上个月中旬一直暴露在外面，当时其数据突然被清除，取而代之的是一张赎金字条，上海警方发现了这一点。 根据Diachenko先生提供的截图，"你的数据是安全的"，赎金字条上写道。"联系你的数据......恢复btc"，意思是数据将以个比特币，大约万美元的价格被归还。 这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合，以换取对一个数据库的访问权，该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。 这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉，不仅是因为泄漏的规模，还因为政府数据库中的信息的敏感性。 上海市政府和中国网信办（该国的互联网监管机构）没有对评论请求作出回应。 网络安全专家拼凑出了数据库真实性的新证据，以及这么多私人信息如何落入网络犯罪分子手中的细节。 他们说，仪表盘就像一扇通向数据库的大门，即使在所有数据丢失后也没有关闭，直到这个漏洞开始得到公众的广泛关注。特罗亚先生说，窃取数据的人很可能是正在兜售数据的同一个实体。 他说："很常见的是，如果赎金受害者不支付赎金，那么他们会试图在网上出售数据。" 无法确定该数据库被公开访问是偶然还是故意的，也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说，这种漏洞很常见，但他们都表示，发现如此规模的不安全数据库令他们感到震惊。 两人都说，他们也证实了匿名泄密者的说法，即它包括超过兆字节的数据，涵盖多达亿人。他们说，一个名为 "person_address_label_info_master "的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片，长度接近.亿行，这表明它包括同样多的人的详细信息，假设没有重复的条目。 该文件标记了有犯罪史的个人，包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 "应该被密切关注的人 "的标签，这是中国政府监控系统中经常使用的一种称呼，以表示被认为对社会秩序构成威胁的人。 数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护 储存了数百万张人脸和车牌的中国庞大数据库在互联网上曝光了几个月，然后在8月悄然消失。 虽然它的内容对中国来说似乎不值一提，因为在中国，面部识别是例行公事，国家监控无处不在，但这个被曝光的数据库的规模是惊人的。在高峰期，该数据库拥有超过8亿条记录，是今年规模最大的已知数据安全漏洞之一，仅次于6月份上海警方数据库的10亿条记录的大规模数据泄露。在这两个案例中，数据可能是在无意中暴露的，是人为错误的结果。 被曝光的数据属于一家位于中国东海岸杭州的科技公司，名为新爱电子（Xinai Electronics）。该公司建立了控制人员和车辆进入中国各地工作场所、学校、建筑工地和停车库的系统。它的网站吹嘘其将面部识别技术用于建筑物出入之外的一系列用途，包括人事管理，如工资发放、监控员工出勤和业绩，而其基于云的车牌识别系统允许司机在无人值守的车库中支付停车费，这些车库由工作人员远程管理。 正是通过一个庞大的摄像头网络，新爱公司积累了数百万的脸部指纹和车牌，其网站声称这些数据 "安全地存储 "在其服务器上。 但事实并非如此。 安全研究员Anurag Sen在中国的一个阿里巴巴托管的服务器上发现了该公司暴露的数据库，并请求TechCrunch帮助报告新爱的安全漏洞。 森说，该数据库包含了令人震惊的信息量，而且与日俱增，包括数以亿计的记录和新爱公司拥有的几个域名上托管的图像文件的完整网址。但是，数据库和托管的图像文件都没有密码保护，任何知道去哪里找的人都可以通过网络浏览器访问。 该数据库包括高分辨率人脸照片的链接，包括进入建筑工地的建筑工人和办公室的访客，以及其他个人信息，如个人的姓名、年龄和性别，还有居民身份证号码，这是中国对国民身份证的回应。该数据库还有由新安公司在停车场、车道和其他办公室入口处的摄像头收集的车辆牌照记录。