据纽约时报调查，在线平台 Leak IX 的数据显示，早在 年 月，上海警方数据库已经暴露。受访的网络安全人员表示，警方的数

据纽约时报调查，在线平台 Leak IX 的数据显示，早在 年 月，上海警方数据库已经暴露。受访的网络安全人员表示，上海警方的数据库曾存放在有安全保护的封闭网络上，直到有人设置了一个网关。设置网关是开发人员的常用做法，但上海警方数据库的网关没有密码

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护 储存了数百万张人脸和车牌的中国庞大数据库在互联网上曝光了几个月，然后在8月悄然消失。 虽然它的内容对中国来说似乎不值一提，因为在中国，面部识别是例行公事，国家监控无处不在，但这个被曝光的数据库的规模是惊人的。在高峰期，该数据库拥有超过8亿条记录，是今年规模最大的已知数据安全漏洞之一，仅次于6月份上海警方数据库的10亿条记录的大规模数据泄露。在这两个案例中，数据可能是在无意中暴露的，是人为错误的结果。 被曝光的数据属于一家位于中国东海岸杭州的科技公司，名为新爱电子（Xinai Electronics）。该公司建立了控制人员和车辆进入中国各地工作场所、学校、建筑工地和停车库的系统。它的网站吹嘘其将面部识别技术用于建筑物出入之外的一系列用途，包括人事管理，如工资发放、监控员工出勤和业绩，而其基于云的车牌识别系统允许司机在无人值守的车库中支付停车费，这些车库由工作人员远程管理。 正是通过一个庞大的摄像头网络，新爱公司积累了数百万的脸部指纹和车牌，其网站声称这些数据 "安全地存储 "在其服务器上。 但事实并非如此。 安全研究员Anurag Sen在中国的一个阿里巴巴托管的服务器上发现了该公司暴露的数据库，并请求TechCrunch帮助报告新爱的安全漏洞。 森说，该数据库包含了令人震惊的信息量，而且与日俱增，包括数以亿计的记录和新爱公司拥有的几个域名上托管的图像文件的完整网址。但是，数据库和托管的图像文件都没有密码保护，任何知道去哪里找的人都可以通过网络浏览器访问。 该数据库包括高分辨率人脸照片的链接，包括进入建筑工地的建筑工人和办公室的访客，以及其他个人信息，如个人的姓名、年龄和性别，还有居民身份证号码，这是中国对国民身份证的回应。该数据库还有由新安公司在停车场、车道和其他办公室入口处的摄像头收集的车辆牌照记录。

知情人士介绍，上海当局已就公安数据泄露案约谈阿里云，与会者包括上月新入职负责数字政府部公安业务线的陈雪松。

知情人士介绍，上海当局已就公安数据泄露案约谈阿里云，与会者包括上月新入职负责数字政府部公安业务线的陈雪松。 据职员介绍，阿里和阿里云的高管7月1日即线上开会讨论应急处置，停止了对涉事数据库的所有访问并开始检查代码，尚未确定泄露原因；同时也正联系政府部门、金融机构等其他专用私有云客户，排查其数据库架构和配置。 信安平台LeakIX表示，涉事数据库面板使用了Elasticsearch多年前的旧版本，当时需要额外安装X-Pack扩展才会有密码保护等安全功能。在阿里云上另扫描到13座数字证书相同（于2018年9月过期）的数据库，都是将面板暴露在公网、使用着上述无安全防护的旧版软件，其中两座规模分别超60TB和92TB，甚至大过此次被兜售的23TB。 （华尔街日报）

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码 短信路由服务有助于将时间紧迫的短信通过不同地区的蜂窝网络和供应商发送到正确的目的地，例如用户接收短信安全代码或登录在线服务的链接。YX International 声称每天发送500 万条短信。但是，这家技术公司将其一个内部数据库暴露在互联网上，没有设置密码，任何人只需知道数据库的公共 IP 地址，就可以使用网络浏览器访问其中的敏感数据。阿努拉格-森（Anurag Sen）是一位白帽黑客黑客，也是发现敏感但无意中泄露到互联网上的数据集的专家，他发现了这个数据库。森说，目前还不清楚该数据库属于谁，也不知道该向谁报告泄漏事件，因此森分享了被曝光数据库的详细信息，以帮助确定其所有者并报告安全漏洞。被曝光的数据库包括发送给用户的短信内容，其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和网络公司的一次性密码和密码重置链接。该数据库的月度日志可追溯到 2023 年 7 月，并且每分钟都在增长。双因素身份验证（2FA）通过向受信任的设备（如某人的手机）发送附加代码，提供更强的保护，防止依赖密码窃取的在线账户劫持。但是，通过短信发送的密码不如基于应用程序的密码生成器等更强大的 2FA 方式安全，因为短信很容易被拦截或曝光，在这种情况下，密码就会从数据库泄露到开放网络上。TechCrunch 在曝光的数据库中发现了与 YX International 相关的几组内部电子邮件地址和相应的密码，并向该公司发出了数据库泄漏的警报。数据库很快就下线了。YX International 的一位没有提供姓名的代表很快做出回应，称公司"封堵了这个漏洞"。YX International 的代表说，服务器没有存储访问日志，因此无法确定除 Sen 之外是否有其他人发现了被暴露的数据库及其内容，并且也未说明数据库暴露了多长时间。 ... PC版： 手机版：

美联社记者在新疆进行政府主导的参观时，被授予特殊权限，进入了位于达坂城的乌鲁木齐第三看守所内部，成为首个获准进入内部参观的西方媒

美联社记者在新疆进行政府主导的参观时，被授予特殊权限，进入了位于达坂城的乌鲁木齐第三看守所内部，成为首个获准进入内部参观的西方媒体。 该看守所是中国、甚至可能是世界上最大的一个，占地220英亩（约0.89平方千米）。中国官员拒绝透露到底有多少囚犯，称数字在变动。美联社根据卫星图像和参观过程中看到的牢房和长凳估计，大约可容纳一万人，如果拥挤一些则可能会更多。卫星图像显示，2019年，达坂城的看守所新增了长达1英里（约1.6千米）的建筑。 过去四年，中国在其所谓的“反恐战争”中一个颇具争议的焦点就是所谓的“职业技能教育培训中心”。中国最初否认其存在，随后在国际社会的批评下，在2019年说所有人都已经“毕业”。不过根据美联社对达坂城的访问、卫星图像、对专家以及曾被拘留的人的采访，虽然许多的““教培中心””的确已经关闭。但有一些只是改造成了监狱或者看守所。卫星图像显示，许多新的设施也已经建成，包括沿着第三看守所的路的一个85英亩（约0.34平方千米）的新看守所。这个新的看守所于2019年建成。这些变化似乎是从临时的、法外的“教培中心”进入一个更永久且法律规定的看守所。虽然一些维吾尔人被释放，但是其他人只是被转移到了这个监狱网络。 在4月份的参观期间，官员们用第三看守所证明了中国对改革和法制的承诺，这里为囚犯提供热食、锻炼，允许接触法律顾问，并通过电视课程讲解他们的罪行。官员们说，权利受到保护，只有违法者才需要担心被拘留。此外，他们还一直将其与“教培中心”区分开。乌鲁木齐公安局长赵忠伟坚称：“我们的看守所与‘教培中心’之间没有任何联系…附近也从来没有过。”外交部官员Liu Chang说：“看，BBC报道说这里是再教育营。它不是，它是看守所。” 虽然官员们一再声称这点，该看守所外部的标牌也写着“看守所”。但是根据路透社2018年9月拍摄的一张入口处照片，该设施曾被称为“乌鲁木齐职业技能教育培训中心”。加拿大法律系学生Shawn Zhang收集的公开文件显示，2017年在同一地点受委托建造了一个同名的“教培中心”。记录还显示，中国恒丰信息技术公司曾获得1100万元的合同，用于装备该“教培中心”。恒丰一名接听电话的男子证实该公司参与了“教培中心”的建设，但恒丰没有回应进一步的置评请求。一位曾在2018年参观过达坂城设施的建筑承包商称，该设施与“乌鲁木齐职业技能教育培训中心”一样，在2019年被改为看守所，并换了牌子，“里面所有以前的学生都变成了囚犯”。由于担心家人受到报复，他拒绝透露自己的姓名。 这个庞大的建筑群被25英尺（约7.62米）高的蓝色混凝土墙、瞭望塔和电线包围着。官员们带领美联社记者穿过主入口，期间经过了面部扫描的旋转栅门和身穿迷彩服、手持步枪的守卫。在大院的一个角落里，戴着口罩的囚犯们排着整齐的队列坐着。大多数人似乎是维吾尔族。看守所负责人Zhu Hongbin敲了敲其中一间牢房的窗户说，“他们完全牢不可破。” 在控制室，工作人员看着墙上约二十多个屏幕，上面播放着每个牢房的录像。另一个则播放着中央电视台的节目，Zhu Hongbin说这些节目正被播放给囚犯。Zhu说：“我们控制他们看什么，我们可以看到他们是否违反规定，或者他们是否可能伤害或杀死自己。”此外还会播放视频课程，以教导他们的罪行，“他们需要被教导为什么杀人是不好的，为什么偷窃是不好的”。 22个房间里有椅子和电脑，允许被绑在座位上的囚犯通过视频与律师、亲属和警察聊天。沿着走廊，一间办公室里有乌鲁木齐市检察院的分支机构。附近的一间医疗室里有一张轮床、一个氧气罐和一个放有药品的柜子。挂在墙上的指南指导工作人员如何正确处理生病的囚犯，以及通过将管子插入囚犯的鼻子来强制喂食绝食的囚犯。 另一位官员Zhao说，囚犯在审判前会被关押15天到一年，这取决于他们涉嫌的罪行，法律程序与中国其他地区相同。他说，出于安全考虑，看守所建在了在远离城市的地方。 三号看守所似乎没有满员。官员们说，有一个区域是关闭的，每个牢房里坐着六到十个囚犯，只占了一半的长凳。而在乌鲁木齐，至少还有三个拘留所，以及十余个监狱。根据2019年的官方统计数据，当年新疆的逮捕人数是2017年以前的两倍左右。数十万人被判处监禁，许多人被判处五年或以上的刑期。新疆发言人徐贵相称更高的监禁率是“反恐战争”的“严厉措施”，“在这个过程中，依法判刑的人数会增加。这是我们工作成效的一个具体体现。” 不过，许多被监禁者的亲属说，他们是以虚假的指控被判刑的。专家也提醒说，新疆法律系统并不透明。尽管中国其他地方的法律记录很容易获得，但新疆几乎90%的刑事记录都没有公开。而泄露的少数记录显示，一些人因一些很少会被认为是犯罪的行为而被指控犯有“恐怖主义”或“分裂主义”，例如警告同事不要看色情电影和说脏话，或在监狱里祈祷。 研究员吉恩·布宁发现，维吾尔人被强迫签署当局所谓的 "恐怖活动 "的供词。一位此前被关押人员的亲戚告诉美联社，有些人后来被释放了，包括一名被关押在达坂城监狱的人。其他人则没有被释放。The Intercept获得的警方报告详细介绍了乌鲁木齐一个社区的八名维吾尔人的情况，他们于2017年被拘留在“达坂城”设施中，原因是阅读宗教文本、安装文件共享应用程序，或者仅仅是作为一个“不值得信任的人”。报告显示，2018年底，检察官传唤他们参加临时会议，并判处他们2至5年的“学习”。研究人员说，许多无辜的人往往因为出国或参加宗教集会等原因而被拘留。科罗拉多大学研究维吾尔族的人类学家达伦·贝勒指出，许多囚犯并没有犯下 "任何标准的真正罪行"，他们经历了没有正当程序的“表演”审判。 美联社记者在该设施中没有看到任何酷刑或殴打的迹象，也无法直接与任何此前或现在被拘留的人交谈。但一位逃离新疆的维吾尔族人Zumret Dawut说，一位现已去世的曾在达坂城工作的朋友，曾目睹了非常残忍的待遇，以至于她晕倒了。这名朋友还说她曾看到一对青少年被迫签署供词，声称他们在埃及学习时参与了恐怖主义，他们的皮肤被打得血肉模糊。据另一个“教培中心”的老师Qelbinur Sedik说，达坂城设施的一名老师也称其为 "比地狱还糟糕"。这位老师说，在上课期间，她可以听到人们被电棍和铁椅折磨的声音。不过关于新疆其他地方的看守所条件的描述差别很大：一些人描述说虽然有限制性条件，但没有身体虐待，而另一些人则说他们受到了酷刑。这些说法很难独立核实，而新疆当局否认所有关于虐待的指控。 中国官员也继续否认他们以虚假的指控关押维吾尔人。在三号看守所的路上，可以看到高墙和警卫塔，其位置与卫星图像中显示的新拘留设施相同。当被问到这是什么时，官员们表示“我们不知道它是什么”。 （美联社）