上海公安数据库泄露事件

2022年中國上海警察部門的資料庫洩漏事件

上海公安数据库泄露事件是2022年7月初上海公安数据库遭入侵,骇客网络犯罪论坛公开出售的中国大陆居民信息和警察案件数据的一起大规模资料泄漏事件。这批数据被称作上海国家警察数据库(英语:Shanghai National Police Database,或SHGA Database),据称包含逾十亿居民的个人资料。

数据

被出售数据标价10比特币(合时价约美元20万或人民币134万)。出售数据的匿名人士称,这批泄露自上海市公安局的数据由总计逾23TB的多个部分构成,涉及逾十亿中国大陆居民,包含姓名、地址、出生地、身份证号码、照片、手机号码刑事案件资讯。[1]网上流传的截图显示,这批数据提供有巨量且详尽的警察情资,包含报案时间、报案人电话和报案事由。对数据样本的初步分析显示,数据库中的个人信息来自中国大陆各地的居民,不限于上海一地。[2][3][4]

华尔街日报引述网络安全研究者的消息,这些数据本身被安全地存储,但一个用于访问和管理数据库的控制台被开放在广域网且没有设置密码,以致于任何具备基础技术能力的人都能轻易地拿走数据。安全研究者还指出,这个数据库自从2021年4月起就一直在线,直到2022年6月中旬(即事发前一月)被黑客清空数据并留言勒索10比特币。而即便历经勒索,及至泄漏事件曝光的初期,数据库仍处于开放状态,直到事件引起更广泛关注。两位不同的安全研究者证实,数据库中一个包含姓名、生日、地址、身份证和身份证照片在内的数据表大约有9亿7000万行。如果其中没有重复,则其来自同等数量的居民个人。这一数据表对有犯罪记录的居民做出标记,例如交通违法者、被“追逃”者、被控犯有强奸或杀人罪者。此外,它还将需要被密切监控者特别标记——华尔街日报指出,这表示被视为对社会秩序构成威胁的人,在政府监控系统中很常见。[5]

反应

据报道,当局已在微信微博等社交媒体平台进行内容审查以阻止消息流传[6][7][2],但尚未对此事做出证实或公开回应。彭博新闻社就此事传真询问中央网信办和上海市警察部门,也未获得及时回应[4]

据称被泄露的数据托管在阿里云平台,阿里巴巴集团的云计算部门高管已被上海政府部门约见。[8]

评论

评论认为,若数据量属实,这将是中国大陆有史以来最大规模的数据泄漏事件[7]彭博新闻社指过去几年中中国大陆有多起数据泄漏事件,例如2016年中国大陆官员及企业高管个人信息泄漏[9]、2020年微博账号信息泄漏以及2022年新疆再教育营信息泄漏等,并批评中华人民共和国境内的数据泄漏事件少有披露而缺乏透明度。[4]

华尔街日报指出,当局近年来将数据安全隐私推作高优先级的事项,并通过一系列法律限制商业性隐私收集及阻止数据流出国境。与此同时,政府部门通过国家级的监控设施收集大量信息以加强对社会的控制。就此,一些中国的科技政策研究者认为,这批泄漏自政府机构、正在境外流传的数据资料,可能会动摇这些监控系统能保护国家安全的论点。他们认为,索取更多信息以提升信息安全的方法存在中心矛盾。[5]

参见

参考资料

  1. ^ ChinaDan. 2022 - SHGA Shanghai Gov National Police database. breached.to. 2022-06-30 [2022-07-05]. (原始内容存档于2022-07-06). 
  2. ^ 2.0 2.1 網傳上海公安系統遭駭 10億公民個資售20萬美元. 中央社. [2022-07-04]. (原始内容存档于2022-07-05) (中文(台湾)). 
  3. ^ It is spread on the Internet that the data of 1 billion residents in the Shanghai National Police database has been trafficked. China Posts English. 2022-07-03 [2022-07-04]. (原始内容存档于2022-07-07) (美国英语). 
  4. ^ 4.0 4.1 4.2 Hackers Claim Theft of Police Info in China’s Largest Data Leak. 彭博新闻社. 2022-07-04 [2022-07-04]. (原始内容存档于2022-07-07) (英语). 
  5. ^ 5.0 5.1 Singapore, Karen Hao in Hong Kong and Rachel Liang in. China Police Database Was Left Open Online for Over a Year, Enabling Leak. Wall Street Journal. 2022-07-06 [2022-07-07]. ISSN 0099-9660. (原始内容存档于2022-08-10) (美国英语). 
  6. ^ China censors news of alleged hacking of Shanghai police database. Financial Times. 2022-07-05 [2022-07-06]. (原始内容存档于2022-07-05). 
  7. ^ 7.0 7.1 联合新闻网. 上海公安數據庫傳遭駭 10億陸民訊息20萬美元網上兜售. 联合新闻网. 20220704T083516Z [2022-07-04]. (原始内容存档于2022-07-04) (中文(台湾)). 
  8. ^ Karen Hao. 消息人士称阿里巴巴高管因警方数据库泄露事件被上海当局约见. 华尔街日报. 2022-07-15 [2022-07-16]. (原始内容存档于2022-07-20). 
  9. ^ 推特驚現中國富豪隱私 馬雲、習姐夫中招|蘋果新聞網|蘋果日報. AppleDaily. [2022-07-05]. (原始内容存档于2022-07-06) (中文(台湾)).