WSJ：中国敏感数据暴露量居世界之最，美国屈居第二

WSJ：中国敏感数据暴露量居世界之最，美国屈居第二 中国政府为了保护敏感数据建立了网络安全和数据保护制度，其严格程度在全球数一数二。然而尽管采取了这些措施，一个跨境地下市场还是围绕着中国公民的数据交易如火如荼地发展起来。 这些数据中有很大一部分来自中国政府的另一个大型安全项目：庞大的监控网络。 本月早些时候，在一个颇为热门的网络犯罪论坛上，一名匿名用户挂出了从上海警方窃取的约10亿中国公民的数据进行出售。这是历史上最大的信息窃取案之一，包含极为敏感的数据，例如身份证号码、犯罪记录以及详细的案件摘要，例如强奸和家庭暴力指控等。 此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的Telegram社区出售，有时也是免费的。根据《华尔街日报》的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构LeakIX称，中国还有数万个数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700TB，是所有国家中最大的数据量。 公安部、中国网信办和上海市政府没有对评论请求作出回应。 所有国家都在努力保持其数据的保护。LeakIX的分析显示，美国仅次于中国，有近540TB的数据在公共互联网上被公开。然而，中国的独特之处在于其暴露数据的全面性和敏感性这是中国将来自政府和企业的多种信息流集中在国营监控平台上的结果。

微信和抖音数据泄露 一份关于TikTok和数据泄漏的公告。790GB的庞大数据库中有20.5亿条用户数据、cookies、令牌、

微信和抖音数据泄露 一份关于TikTok和微信数据泄漏的公告。790GB的庞大数据库中有20.5亿条用户数据、cookies、令牌、来源和其他信息的记录。 有趣的是，这个帖子来自一群黑客主义活动家，他们声称只攻击与欧洲敌对的国家。 中国微信正在保持沉默，而TikTok则否认黑客攻击。尽管如此，研究人员已经确认了样本数据中用户信息的真实性。还有待确认的是，数据库中是否有除了公共数据以外的其他东西。 #DataBreach #WeChat #TikTok

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码 短信路由服务有助于将时间紧迫的短信通过不同地区的蜂窝网络和供应商发送到正确的目的地，例如用户接收短信安全代码或登录在线服务的链接。YX International 声称每天发送500 万条短信。但是，这家技术公司将其一个内部数据库暴露在互联网上，没有设置密码，任何人只需知道数据库的公共 IP 地址，就可以使用网络浏览器访问其中的敏感数据。阿努拉格-森（Anurag Sen）是一位白帽黑客黑客，也是发现敏感但无意中泄露到互联网上的数据集的专家，他发现了这个数据库。森说，目前还不清楚该数据库属于谁，也不知道该向谁报告泄漏事件，因此森分享了被曝光数据库的详细信息，以帮助确定其所有者并报告安全漏洞。被曝光的数据库包括发送给用户的短信内容，其中包括Facebook和WhatsApp、Google、TikTok等全球最大科技和网络公司的一次性密码和密码重置链接。该数据库的月度日志可追溯到 2023 年 7 月，并且每分钟都在增长。双因素身份验证（2FA）通过向受信任的设备（如某人的手机）发送附加代码，提供更强的保护，防止依赖密码窃取的在线账户劫持。但是，通过短信发送的密码不如基于应用程序的密码生成器等更强大的 2FA 方式安全，因为短信很容易被拦截或曝光，在这种情况下，密码就会从数据库泄露到开放网络上。TechCrunch 在曝光的数据库中发现了与 YX International 相关的几组内部电子邮件地址和相应的密码，并向该公司发出了数据库泄漏的警报。数据库很快就下线了。YX International 的一位没有提供姓名的代表很快做出回应，称公司"封堵了这个漏洞"。YX International 的代表说，服务器没有存储访问日志，因此无法确定除 Sen 之外是否有其他人发现了被暴露的数据库及其内容，并且也未说明数据库暴露了多长时间。 ... PC版： 手机版：

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是由于中国当局迅速封锁了对这一大规模的、令人尴尬的泄漏事件的任何讨论。 之后华尔街日报就该事件写了一篇后续文章，将此事放在更广泛的背景下。 他们写道： 「此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的 Telegram 社区中出售，有时甚至是免费提供。根据华尔街日报的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构 LeakIX 称，还有数以万计来自中国的数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700兆字节，是地球上所有国家中最大的数据量。」 附图显示，中国曝光的数据量不仅大于美国，而且远远超过世界其他国家的泄露水平。 该报道发现有多个人声称要提供掌握着10亿中国公民信息的数据集 其中一个人想要20万美元左右，另一个人准备以10万美元出售。 围绕黑客的宣传似乎也鼓励了其他人加入进来。 一个自称是中国中部河南省警察的用户受到上海泄漏事件的“启发”，声称要以一个比特币/或大约2万美元的价格提供9000万公民的敏感个人信息。 第三个帖子宣称持有中国疾病控制中心的900万条记录，售价仅2000美元。几天后，第四个帖子又出现了，以500美元的价格出售4万份中国公民的姓名、电话号码、地址和政府身份证号码的记录。 更不幸的是，该报道错误地声称 - 推动这种大规模高度敏感的个人数据交易蓬勃发展的一个关键因素是：“中国的国家工作人员工资很低，因此很容易被贿赂”。这是事实，但不是原因。 原因是政府长期实施的强行的大规模数据收集。没有收集就不会有泄露。为监控目的而保存在数据库中的数据越多，就越难控制，就越容易在一次黑客攻击中渗出大量数据，这些数据可以在黑市上以大笔金额出售。 几周前的大泄漏很可能不是巧合，它来自上海，上海已经有了世界上最完整的监控系统之一并运行了足够长时间。 上海是首批在2019年公布“具有人工智能功能的全面整合数据平台”的城市之一。根据国家媒体对上海警察局一位局长的采访，该平台从公安、公共医疗和交通等各种政府职能部门，以及提供快递和食品配送的私营公司拉来数据。 这意味着上海的数据比其他地方的更多、更丰富。 只需要一个配置错误的数据库，或者一个不诚实的警察，十亿中国公民的隐私人权就会消失，可能永远消失。 道德或国际法不太可能约束监视本国公民的政府。 但是您肯定知道，能改变这种噩梦的方法是什么。 #Digitalleakage #China #Privacy #Humanrights

在8亿人脸车辆数据库泄漏事件中外媒曾通知被泄漏数据库的管理方，但没有任何回应

在8亿人脸车辆数据库泄漏事件中外媒曾通知被泄漏数据库的管理方，但没有任何回应 TechCrunch 说，他们曾向已知与心爱创始人关联的电子邮件地址发送了几条关于暴露数据库的消息，这些电子邮件没有被退回。直到 8 月中旬，该数据库已无法访问。 数据库中出现了数据勒索者留下的未注明日期的要求赎金的信息，他们声称窃取了数据库的内容，要恢复数据必须支付数百美元的加密货币。 目前尚不清楚勒索者是否窃取或删除了任何数据，但勒索信中留下的区块链地址显示它尚未收到任何资金。

WSJ：中国警方的数据库对外网开放访问了一年多，导致泄密

WSJ：中国警方的数据库对外网开放访问了一年多，导致泄密 今年早些时候发现安全漏洞的网络安全专家说，这可能是历史上最大的个人数据盗窃案之一，也是中国最大的已知网络安全漏洞，因为一个常见的漏洞使数据在互联网上被公开。 据网络安全专家称，上海警方的记录包括近10亿中国公民的姓名、政府身份证号码、电话号码和事件报告，是安全存储的。但他们说，一个用于管理和访问数据的仪表板被设置在一个公共网站上，而且没有密码，这使得任何具有相对基本技术知识的人都可以随意进入，复制或窃取信息库。 暗网情报公司Shadowbyte的创始人Vinny Troia说："他们将这么多数据暴露在外，这太疯狂了。" 网络安全研究公司SecurityDiscovery的老板鲍勃-迪亚琴科（Bob Diachenko）表示，该数据库从2021年4月到上个月中旬一直暴露在外面，当时其数据突然被清除，取而代之的是一张赎金字条，上海警方发现了这一点。 根据Diachenko先生提供的截图，"你的数据是安全的"，赎金字条上写道。"联系你的数据......恢复10btc"，意思是数据将以10个比特币，大约20万美元的价格被归还。 这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合，以换取对一个数据库的访问权，该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。 这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉，不仅是因为泄漏的规模，还因为政府数据库中的信息的敏感性。 上海市政府和中国网信办（该国的互联网监管机构）没有对评论请求作出回应。 网络安全专家拼凑出了数据库真实性的新证据，以及这么多私人信息如何落入网络犯罪分子手中的细节。 他们说，仪表盘就像一扇通向数据库的大门，即使在所有数据丢失后也没有关闭，直到这个漏洞开始得到公众的广泛关注。特罗亚先生说，窃取数据的人很可能是正在兜售数据的同一个实体。 他说："很常见的是，如果赎金受害者不支付赎金，那么他们会试图在网上出售数据。" 无法确定该数据库被公开访问是偶然还是故意的，也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说，这种漏洞很常见，但他们都表示，发现如此规模的不安全数据库令他们感到震惊。 两人都说，他们也证实了匿名泄密者的说法，即它包括超过23兆字节的数据，涵盖多达10亿人。他们说，一个名为 "person_address_label_info_master "的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片，长度接近9.7亿行，这表明它包括同样多的人的详细信息，假设没有重复的条目。 该文件标记了有犯罪史的个人，包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 "应该被密切关注的人 "的标签，这是中国政府监控系统中经常使用的一种称呼，以表示被认为对社会秩序构成威胁的人。 数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。