WSJ：中国敏感数据暴露量居世界之最，美国屈居第二

WSJ：中国敏感数据暴露量居世界之最，美国屈居第二 中国政府为了保护敏感数据建立了网络安全和数据保护制度，其严格程度在全球数一数二。然而尽管采取了这些措施，一个跨境地下市场还是围绕着中国公民的数据交易如火如荼地发展起来。 这些数据中有很大一部分来自中国政府的另一个大型安全项目：庞大的监控网络。 本月早些时候，在一个颇为热门的网络犯罪论坛上，一名匿名用户挂出了从上海警方窃取的约10亿中国公民的数据进行出售。这是历史上最大的信息窃取案之一，包含极为敏感的数据，例如身份证号码、犯罪记录以及详细的案件摘要，例如强奸和家庭暴力指控等。 此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的Telegram社区出售，有时也是免费的。根据《华尔街日报》的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构LeakIX称，中国还有数万个数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700TB，是所有国家中最大的数据量。 公安部、中国网信办和上海市政府没有对评论请求作出回应。 所有国家都在努力保持其数据的保护。LeakIX的分析显示，美国仅次于中国，有近540TB的数据在公共互联网上被公开。然而，中国的独特之处在于其暴露数据的全面性和敏感性这是中国将来自政府和企业的多种信息流集中在国营监控平台上的结果。

中国遭遇史上最大规模数据泄露事件：近日，网络安全研究团队Cybernews最新发现，一个未设密码的631GB数据库公开暴露了逾4

中国遭遇史上最大规模数据泄露事件：近日，网络安全研究团队Cybernews最新发现，一个未设密码的631GB数据库公开暴露了逾40亿条记录，涉及数亿中国用户的财务数据、微信及支付宝信息等敏感个人资料。研究人员指出，该数据库包含16个按数据类型命名的数据集，其中"wechatid_db"（8.05亿条）疑似源自微信，"address_db"（7.8亿条）含详细住址信息，"bank"（6.3亿条）则包含银行卡号、姓名、手机号等金融数据。尤为严峻的是，攻击者通过交叉比对不同数据集可精准获取用户居住地址、消费习惯及资产状况。

微信和抖音数据泄露 一份关于TikTok和数据泄漏的公告。790GB的庞大数据库中有20.5亿条用户数据、cookies、令牌、

微信和抖音数据泄露 一份关于TikTok和微信数据泄漏的公告。790GB的庞大数据库中有20.5亿条用户数据、cookies、令牌、来源和其他信息的记录。 有趣的是，这个帖子来自一群黑客主义活动家，他们声称只攻击与欧洲敌对的国家。 中国微信正在保持沉默，而TikTok则否认黑客攻击。尽管如此，研究人员已经确认了样本数据中用户信息的真实性。还有待确认的是，数据库中是否有除了公共数据以外的其他东西。 #DataBreach #WeChat #TikTok

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码 短信路由服务有助于将时间紧迫的短信通过不同地区的蜂窝网络和供应商发送到正确的目的地，例如用户接收短信安全代码或登录在线服务的链接。YX International 声称每天发送500 万条短信。但是，这家技术公司将其一个内部数据库暴露在互联网上，没有设置密码，任何人只需知道数据库的公共 IP 地址，就可以使用网络浏览器访问其中的敏感数据。阿努拉格-森（Anurag Sen）是一位白帽黑客黑客，也是发现敏感但无意中泄露到互联网上的数据集的专家，他发现了这个数据库。森说，目前还不清楚该数据库属于谁，也不知道该向谁报告泄漏事件，因此森分享了被曝光数据库的详细信息，以帮助确定其所有者并报告安全漏洞。被曝光的数据库包括发送给用户的短信内容，其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和网络公司的一次性密码和密码重置链接。该数据库的月度日志可追溯到 2023 年 7 月，并且每分钟都在增长。双因素身份验证（2FA）通过向受信任的设备（如某人的手机）发送附加代码，提供更强的保护，防止依赖密码窃取的在线账户劫持。但是，通过短信发送的密码不如基于应用程序的密码生成器等更强大的 2FA 方式安全，因为短信很容易被拦截或曝光，在这种情况下，密码就会从数据库泄露到开放网络上。TechCrunch 在曝光的数据库中发现了与 YX International 相关的几组内部电子邮件地址和相应的密码，并向该公司发出了数据库泄漏的警报。数据库很快就下线了。YX International 的一位没有提供姓名的代表很快做出回应，称公司"封堵了这个漏洞"。YX International 的代表说，服务器没有存储访问日志，因此无法确定除 Sen 之外是否有其他人发现了被暴露的数据库及其内容，并且也未说明数据库暴露了多长时间。 ... PC版： 手机版：

#中国数据泄露后续：中国史上最大数据泄露40亿条记录暴露微信支付宝信息

#中国数据泄露后续：中国史上最大数据泄露40亿条记录暴露微信支付宝信息 Cybernews发现631GB未加密数据库，含40亿条记录，涉及数亿中国用户。 数据包括微信8.05亿条记录、7.8亿条住址、6.3亿条银行卡信息，及6.1亿条身份证与手机号对应数据。 支付宝3亿条卡证令牌及2000万条财务记录暴露，增加账户盗用风险。 数据库疑用于监控或商业化，含赌博、车辆、就业等353万条数据，部分涉及台湾。 PS:天天“裸奔”都习惯了

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是由于中国当局迅速封锁了对这一大规模的、令人尴尬的泄漏事件的任何讨论。 之后华尔街日报就该事件写了一篇后续文章，将此事放在更广泛的背景下。 他们写道： 「此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的 Telegram 社区中出售，有时甚至是免费提供。根据华尔街日报的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构 LeakIX 称，还有数以万计来自中国的数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700兆字节，是地球上所有国家中最大的数据量。」 附图显示，中国曝光的数据量不仅大于美国，而且远远超过世界其他国家的泄露水平。 该报道发现有多个人声称要提供掌握着10亿中国公民信息的数据集 其中一个人想要20万美元左右，另一个人准备以10万美元出售。 围绕黑客的宣传似乎也鼓励了其他人加入进来。 一个自称是中国中部河南省警察的用户受到上海泄漏事件的“启发”，声称要以一个比特币/或大约2万美元的价格提供9000万公民的敏感个人信息。 第三个帖子宣称持有中国疾病控制中心的900万条记录，售价仅2000美元。几天后，第四个帖子又出现了，以500美元的价格出售4万份中国公民的姓名、电话号码、地址和政府身份证号码的记录。 更不幸的是，该报道错误地声称 - 推动这种大规模高度敏感的个人数据交易蓬勃发展的一个关键因素是：“中国的国家工作人员工资很低，因此很容易被贿赂”。这是事实，但不是原因。 原因是政府长期实施的强行的大规模数据收集。没有收集就不会有泄露。为监控目的而保存在数据库中的数据越多，就越难控制，就越容易在一次黑客攻击中渗出大量数据，这些数据可以在黑市上以大笔金额出售。 几周前的大泄漏很可能不是巧合，它来自上海，上海已经有了世界上最完整的监控系统之一并运行了足够长时间。 上海是首批在2019年公布“具有人工智能功能的全面整合数据平台”的城市之一。根据国家媒体对上海警察局一位局长的采访，该平台从公安、公共医疗和交通等各种政府职能部门，以及提供快递和食品配送的私营公司拉来数据。 这意味着上海的数据比其他地方的更多、更丰富。 只需要一个配置错误的数据库，或者一个不诚实的警察，十亿中国公民的隐私人权就会消失，可能永远消失。 道德或国际法不太可能约束监视本国公民的政府。 但是您肯定知道，能改变这种噩梦的方法是什么。 #Digitalleakage #China #Privacy #Humanrights