中国电商“折疯了海淘”数据库暴露包含数百万中国公民身份证

中国电商“折疯了海淘”数据库暴露包含数百万中国公民身份证 一名安全研究人员表示，在一家电子商务商店将其数据库暴露在互联网上后，他发现数百万中国公民身份号码在网上泄露。 马科普洛斯是为 CloudDefense[.]ai 工作的安全研究人员，他表示他发现了属于中国海外进口电商“折疯了海淘”的数据库，该数据库包含从 2015 年到 2020 年超过 330 万条订单，，还没有受到密码保护。 订单数据库包含相应的客户送货地址和电话号码，以及政府颁发的居民身份证号码。许多订单还包括客户上传的身份证副本。 目前尚不清楚数据库暴露了多长时间。任何知道数据库 IP 地址的人都可以仅使用 Web 浏览器访问其中的数据。 TechCrunch 联系了该电商的所有者，并提供了有关暴露数据库的详细信息。不久之后，数据库变得无法访问。对此，该公司回复道：“该漏洞已得到及时修复。目前我们正在内部调查原因。”

数百个网站错误配置的 Firebase 实例暴露了约1.25亿用户的数据

数百个网站错误配置的 Firebase 实例暴露了约1.25亿用户的数据 三位安全研究人员解释说，这一切都源于对人工智能招聘系统 Chattr 的黑客攻击，该公司为美国多家机构提供服务。Chattr 的Firebase配置中存在一个漏洞，使得研究人员可以通过注册新用户获得数据库的全部权限。接下来，研究人员开始识别通过配置错误的 Firebase 实例暴露敏感信息的其他网络应用程序，并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含 8000 多万个姓名、1 亿多个电子邮件地址、3300 多万个电话号码和 2000 多万个密码，以及 2700 多万个账单信息条目。 研究人员说，他们已经尝试与842个网站联系，但只有85%的电子邮件能够送达。四分之一的网站解决了配置错误问题，1%的网站回复了电子邮件。不过，只有两个网站的所有者提供了漏洞悬赏奖金。

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护

超过 8 亿条记录泄露：包含中国人脸和车牌数据库在公网上暴露了数月，数据库和图像没有密码保护 储存了数百万张人脸和车牌的中国庞大数据库在互联网上曝光了几个月，然后在8月悄然消失。 虽然它的内容对中国来说似乎不值一提，因为在中国，面部识别是例行公事，国家监控无处不在，但这个被曝光的数据库的规模是惊人的。在高峰期，该数据库拥有超过8亿条记录，是今年规模最大的已知数据安全漏洞之一，仅次于6月份上海警方数据库的10亿条记录的大规模数据泄露。在这两个案例中，数据可能是在无意中暴露的，是人为错误的结果。 被曝光的数据属于一家位于中国东海岸杭州的科技公司，名为新爱电子（Xinai Electronics）。该公司建立了控制人员和车辆进入中国各地工作场所、学校、建筑工地和停车库的系统。它的网站吹嘘其将面部识别技术用于建筑物出入之外的一系列用途，包括人事管理，如工资发放、监控员工出勤和业绩，而其基于云的车牌识别系统允许司机在无人值守的车库中支付停车费，这些车库由工作人员远程管理。 正是通过一个庞大的摄像头网络，新爱公司积累了数百万的脸部指纹和车牌，其网站声称这些数据 "安全地存储 "在其服务器上。 但事实并非如此。 安全研究员Anurag Sen在中国的一个阿里巴巴托管的服务器上发现了该公司暴露的数据库，并请求TechCrunch帮助报告新爱的安全漏洞。 森说，该数据库包含了令人震惊的信息量，而且与日俱增，包括数以亿计的记录和新爱公司拥有的几个域名上托管的图像文件的完整网址。但是，数据库和托管的图像文件都没有密码保护，任何知道去哪里找的人都可以通过网络浏览器访问。 该数据库包括高分辨率人脸照片的链接，包括进入建筑工地的建筑工人和办公室的访客，以及其他个人信息，如个人的姓名、年龄和性别，还有居民身份证号码，这是中国对国民身份证的回应。该数据库还有由新安公司在停车场、车道和其他办公室入口处的摄像头收集的车辆牌照记录。

姓名熊王萍中国公民身份证号:533025198601040324

姓名::熊王萍中国公民身份证号:533025198601040324 出生日期，1986年1月4日性别:女云南保山的老表约起来可快餐开包夜包夜不限次数熊玉萍 15198921793 男恶意拒绝还款,目前他本人和弟弟亲戚在家中卖淫，处理债务180一次，480包夜，可以双飞，可以内射 本台迫于无奈，在征求其本人意见并同意情况下，将在2024年11月26日11点起通知其全部亲戚朋友或各路网络朋友，帮忙处理债务 如有验扰冒犯,以及其他一切不良后果由债务人承担全部责任:熊玉萍 15198921793 喜欢老通联系慧雨妈妈18288682961 证明人村委会:15087516086老姑爹勐统:13320592169弟弟，15188111581王总:13354997555老姨爹:18785743454 同城服务服务热操逼的可以联系女儿18388435545高姐13888742245 姐13987541975妹妹姐15025080010张婷18214593015 点击订阅华人新闻频道 https://t.me/+nUfe7DxCv-9iYjM0 投稿爆料联系： @yantou

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是由于中国当局迅速封锁了对这一大规模的、令人尴尬的泄漏事件的任何讨论。 之后华尔街日报就该事件写了一篇后续文章，将此事放在更广泛的背景下。 他们写道： 「此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的 Telegram 社区中出售，有时甚至是免费提供。根据华尔街日报的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构 LeakIX 称，还有数以万计来自中国的数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700兆字节，是地球上所有国家中最大的数据量。」 附图显示，中国曝光的数据量不仅大于美国，而且远远超过世界其他国家的泄露水平。 该报道发现有多个人声称要提供掌握着10亿中国公民信息的数据集 其中一个人想要20万美元左右，另一个人准备以10万美元出售。 围绕黑客的宣传似乎也鼓励了其他人加入进来。 一个自称是中国中部河南省警察的用户受到上海泄漏事件的“启发”，声称要以一个比特币/或大约2万美元的价格提供9000万公民的敏感个人信息。 第三个帖子宣称持有中国疾病控制中心的900万条记录，售价仅2000美元。几天后，第四个帖子又出现了，以500美元的价格出售4万份中国公民的姓名、电话号码、地址和政府身份证号码的记录。 更不幸的是，该报道错误地声称 - 推动这种大规模高度敏感的个人数据交易蓬勃发展的一个关键因素是：“中国的国家工作人员工资很低，因此很容易被贿赂”。这是事实，但不是原因。 原因是政府长期实施的强行的大规模数据收集。没有收集就不会有泄露。为监控目的而保存在数据库中的数据越多，就越难控制，就越容易在一次黑客攻击中渗出大量数据，这些数据可以在黑市上以大笔金额出售。 几周前的大泄漏很可能不是巧合，它来自上海，上海已经有了世界上最完整的监控系统之一并运行了足够长时间。 上海是首批在2019年公布“具有人工智能功能的全面整合数据平台”的城市之一。根据国家媒体对上海警察局一位局长的采访，该平台从公安、公共医疗和交通等各种政府职能部门，以及提供快递和食品配送的私营公司拉来数据。 这意味着上海的数据比其他地方的更多、更丰富。 只需要一个配置错误的数据库，或者一个不诚实的警察，十亿中国公民的隐私人权就会消失，可能永远消失。 道德或国际法不太可能约束监视本国公民的政府。 但是您肯定知道，能改变这种噩梦的方法是什么。 #Digitalleakage #China #Privacy #Humanrights

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是

几周前，一个匿名账户将估计有十亿中国公民的数据挂牌出售，这些数据可能是从上海警方获得的。 当时，具体发生了什么还不清楚 特别是由于中国当局迅速封锁了对这一大规模的、令人尴尬的泄漏事件的任何讨论。 之后华尔街日报就该事件写了一篇后续文章，将此事放在更广泛的背景下。 他们写道： 「此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的 Telegram 社区中出售，有时甚至是免费提供。根据华尔街日报的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。 据追踪此类数据库的服务机构 LeakIX 称，还有数以万计来自中国的数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过兆字节，是地球上所有国家中最大的数据量。」 附图显示，中国曝光的数据量不仅大于美国，而且远远超过世界其他国家的泄露水平。 该报道发现有多个人声称要提供掌握着亿中国公民信息的数据集 其中一个人想要万美元左右，另一个人准备以万美元出售。 围绕黑客的宣传似乎也鼓励了其他人加入进来。 一个自称是中国中部河南省警察的用户受到上海泄漏事件的“启发”，声称要以一个比特币/或大约万美元的价格提供万公民的敏感个人信息。 第三个帖子宣称持有中国疾病控制中心的万条记录，售价仅美元。几天后，第四个帖子又出现了，以美元的价格出售万份中国公民的姓名、电话号码、地址和政府身份证号码的记录。 更不幸的是，该报道错误地声称 - 推动这种大规模高度敏感的个人数据交易蓬勃发展的一个关键因素是：“中国的国家工作人员工资很低，因此很容易被贿赂”。这是事实，但不是原因。 原因是政府长期实施的强行的大规模数据收集。没有收集就不会有泄露。为监控目的而保存在数据库中的数据越多，就越难控制，就越容易在一次黑客攻击中渗出大量数据，这些数据可以在黑市上以大笔金额出售。 几周前的大泄漏很可能不是巧合，它来自上海，上海已经有了世界上最完整的监控系统之一并运行了足够长时间。 上海是首批在年公布“具有人工智能功能的全面整合数据平台”的城市之一。根据国家媒体对上海警察局一位局长的采访，该平台从公安、公共医疗和交通等各种政府职能部门，以及提供快递和食品配送的私营公司拉来数据。 这意味着上海的数据比其他地方的更多、更丰富。 只需要一个配置错误的数据库，或者一个不诚实的警察，十亿中国公民的隐私人权就会消失，可能永远消失。 道德或国际法不太可能约束监视本国公民的政府。 但是您肯定知道，能改变这种噩梦的方法是什么。 #Digitalleakage #China #Privacy #Humanrights