上海警方数据库曾在网上暴露一年多，为失窃埋下伏笔

网络安全专家说，一个用于管理和访问此次泄露的上海警方数据库显示面板被设置在一个公共网站上。

图片来源：NG HAN GUAN/ASSOCIATED PRESS

Karen Hao 发自香港 /

Rachel Liang 发自新加坡

2022年7月7日14:45 CST 更新

今年早些时候发现相关安全漏洞的网络安全专家称，近日披露的中国数据泄露事件归因于一个常见的漏洞，这个漏洞使得数据能够在互联网上公开供人取用。此次事件可能是有记录以来规模最大的个人数据被窃案之一，也是中国遭遇的最大规模已知网络安全入侵事件。

据这些网络安全专家称，上海警方的这些记录是被安全存储的，其中包含个人姓名、身份证号码、电话号码以及警情信息，涉及近10亿中国公民的数据。他们说，但一个用于管理和访问该数据库的显示面板(dashboard)被设置在一个公共网站上，并且没有密码，这使得任何具有相对基本技术知识的人员可以轻松访问该数据库、复制或窃取大量信息。

暗网情报公司Shadowbyte的创始人Vinny Troia说：“他们把这么多数据暴露在外，这太疯狂了。”Shadowbyte在网上扫描寻找不安全的数据库，今年1月扫描时发现了上海警方的这个数据库。

泄露的上海警方记录包含近10亿中国公民的姓名、身份证信息和报警事件报告。

图片来源：ALEX PLAVEVSKI/SHUTTERSTOCK

据网络安全研究公司SecurityDiscovery的老板Bob Diachenko说，从2021年4月到今年6月中旬这一年多时间里，该数据库一直暴露在风险中；在6月中旬，该数据库突然被清空，取而代之的是一张勒索通知，上海警方发现了这份通知。与Shadowbyte一样，SecurityDiscovery也在今年早些时候进行定期网络扫描时发现了这个数据库，后来又在扫描时发现了那张勒索通知。

根据Diachenko提供的截图，勒索通知写道，“你的数据是安全的......联系取回数据......恢复10btc”。意思是，要支付10比特币（约合20万美元）赎金，黑客才会归还这些数据。

一位匿名用户上周四开始在某个在线网络犯罪论坛上要价，以提供对一个数据库的访问权，该用户称这一数据库包含从一个上海公安数据库中盗取的数十亿条中国公民信息记录，而要价与上述勒索赎金额正好吻合。

这篇帖子上周末开始在社交媒体上流传，引起了网络安全专家的担忧，不仅仅是因为数据泄露的规模之大，还因为这个政府数据库中所含信息的敏感性。

上海市政府和中国国家互联网信息办公室未回应置评请求。

网络安全专家拼凑出的新证据表明了这个数据库的真实性，以及如此多个人信息如何落入网络犯罪分子手中的细节。

他们说，这个显示面板就像一扇通往数据库的大门，即使在所有数据丢失后这个大门也没有关闭，直到这个漏洞开始受到公众的广泛关注。Troia说，窃取数据者与正在兜售数据的很可能是同一实体。

他说：“黑客的常见做法是，如果受害者不支付赎金，他们就会尝试在网上出售数据。”

无法确定该数据库设置为可公开访问是偶然还是有意为之，也许是为了更便于在少数人之间分享数据。Troia和Diachenko称这种漏洞很常见，但两人都表示，如此大规模的数据库没有安全保障还是令他们非常震惊。

两人表示，他们还证实了匿名泄密者的说法，即泄露的信息包含超过23兆字节的数据，涉及多达10亿人。他们说，一个名为 “person_address_label_info_master”的文件包含近9.7亿行信息，这些信息包括人们的姓名、生日、地址、身份证号码和身份证照片，假设没有重复条目，这意味着该文件包括近9.7亿人的详细信息。

该文件标记了有犯罪记录的个人，并包括违反交通规则的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。该文件中还包括一个“应被严密监控的人”的标签，中国政府监控系统中经常使用该称谓指代那些被视为对社会秩序构成威胁的人。

一份泄露的上海警方档案包括从交通违规到谋杀指控的记录。

图片来源：ALEX PLAVEVSKI/SHUTTERSTOCK

这一数据泄露事件凸显了一些政策研究人员所称的中国在保障信息安全方面的核心矛盾。

近年来，中国政府已暗示数据安全和隐私是需要重点关注的事项，并通过了一系列法律法规，意在限制针对个人信息等敏感数据的商业收集行为，并将数据控制在中国境内。而与此同时，中国政府本身继续通过一个全国性的数字监控系统收集大量数据，加强对国内社会的控制。

一些中国技术政策专家表示，这些信息是从一个政府机关外泄，而且现在有数量不详的副本在境外流传，这可能会破坏中国政府关于这种系统可以保护国家安全的说法。

北京战略咨询公司Trivium China的技术政策研究负责人Kendra Schaefer在Twitter上回应该数据泄露事件时写道，目前还不清楚谁应对此事负责。她说，负责网络犯罪调查的通常是公安部。公安部负责监管地方公安机关，如上海公安。

中国政府尚未对此次数据泄露事件发表评论，中国社交媒体上涉及此事的内容被迅速删除。

包括加密货币交易所币安(Binance)首席执行官在内的一些Twitter中文用户猜测，此次泄密源于2020年一名用户在CSDN上发表的一篇技术博客文章，该文似乎在无意之中包含了上海警方服务器的访问凭证。CSDN是一个类似于Github的中国开发者论坛。

据Troia和Diachenko表示，根据其配置，这个数据库实际上根本不需要访问凭证，因此上述理论不太可能成立。他们说，问题出在设置显示面板的人身上。