上海警方数据库曾在网上暴露一年多，为失窃埋下伏笔

据这些网络安全专家称，上海警方的这些记录是被安全存储的，其中包含个人姓名、身份证号码、电话号码以及警情信息，涉及近10亿中国公民的数据。他们说，但一个用于管理和访问该数据库的显示界面(dashboard)被设置在一个公开网址上，没有加设密码，任何有相对基本技术知识的人都可以轻松访问、复制或窃取库中的海量信息。

暗网情报公司Shadowbyte的创始人Vinny Troia说：“他们把这么多数据暴露在外，这太疯狂了。”这家公司专门在网上扫描搜寻存在安全漏洞的数据库，早在今年1月扫描时发现了上海警方的这个数据库。

据网络安全研究公司SecurityDiscovery的老板Bob Diachenko说，从2021年4月到今年6月中旬这一年多时间里，该数据库一直暴露在风险中；在6月中旬，该数据库突然被清空，取而代之的是一张勒索通知，待上海警方发现。与Shadowbyte一样，SecurityDiscovery也在今年早些时候进行定期网络扫描时发现了这个数据库，后来又在扫描时发现了那张勒索通知。

根据Diachenko提供的截图，勒索通知写道，“你的_数据_是安全的……联系_恢复_数据10btc”。意思是，要支付10比特币（约合20万美元）赎金，黑客才会归还这些数据。

一位匿名用户上周四在某网络犯罪论坛以同样的价格出售一个数据库的访问权，该用户称这一数据库包含从一个上海公安数据库中盗取的数十亿条中国公民信息记录。

这篇帖子上周末开始在社交媒体上迅速传开，引发网络安全专家的担忧，不仅仅是因为数据泄露的规模之大，还因为这个政府数据库中所含信息的敏感性。

上海市政府和中国国家互联网信息办公室未回应置评请求。

网络安全专家拼凑出的新证据表明了这个数据库的真实性，以及如此多个人信息如何落入网络犯罪分子手中的细节。

他们说，这个界面就像一扇通往数据保险库的大门，这扇大门敞开着，即使在所有数据丢失后也还是如此，直到这个漏洞开始受到公众的广泛关注。Troia说，窃取数据的人可能就是正在兜售数据的人。

他说：“黑客的常见做法是，如果受害者不支付赎金，他们就会转而尝试在网上出售数据。”

尚无法知晓该数据库被设置为可公开访问是偶然还是有意为之，也许是为了更方便少数人之间分享数据。Troia和Diachenko称这种漏洞很常见，但两人都表示，如此大规模的数据库缺乏安全保障，这事还是令他们非常震惊。

两人表示，他们还证实了匿名泄密者的说法，即泄露的信息包含超过23太字节的数据，受波及人数多达10亿。他们说，一个名为 “person_address_label_info_master”的文件包含近9.7亿行信息，这些信息包括人们的姓名、生日、地址、身份证号码和身份证照片。若其中没有重复条目，这意味着该文件包括近9.7亿人的详细信息。

该文件还标记出了个人是否有犯罪记录，包括违反交规、逃逸、强奸或杀人。该文件中还包括一个“关注人员_涉稳关注人员”的标签，中国政府监控系统中经常使用该称谓指代那些被视为对社会秩序构成威胁的人。

政策研究人员称这一数据泄露事件凸显中国在保障信息安全方面的核心问题。

近年来，中国政府放出信号，称数据安全和隐私是需要优先要务，通过一系列法律法规限制针对个人信息等敏感数据的商业收集行为，并将数据留存在中国境内。而与此同时，中国政府本身继续通过一个全国性的数字监控系统收集大量数据，加强对国内社会的控制。

一些中国技术政策专家表示，这些信息是从一个政府机关外泄，且现在有数量不详的副本在境外流传，这可能会削弱中国政府关于这种大数据系统有助于保护国家安全的说法。

北京战略咨询公司Trivium China的技术政策研究负责人Kendra Schaefer在Twitter上回应该数据泄露事件时写道，目前还不清楚谁应对此事负责。她说，负责网络犯罪调查的通常是公安部。公安部负责监管地方公安机关，如上海公安。

中国政府尚未对此次数据泄露事件发表评论，中国社交媒体上涉及此事的内容被迅速删除。

包括加密货币交易所币安(Binance)首席执行官在内的一些Twitter中文用户猜测，此次泄密源于2020年一名CSDN用户在该论坛上发表的一篇技术博客文章，该文似乎在无意之中包含了上海警方服务器的访问密钥。CSDN是一个类似于Github的中国开发者论坛。

据Troia和Diachenko表示，根据这个数据库的设置，访问实际上根本不需要凭证，因此上述理论不太可能成立。他们说，问题出在设置界面的人身上。

未经允许不得转载：新聚网 » 上海警方数据库曾在网上暴露一年多，为失窃埋下伏笔