华日：黑客在网上兜售大量疑似中国公民被窃信息

CathyHuang

新冠疫情中的中国上海(photo:RFI)

一名黑客近日宣称获取了中国上海公安系统逾23TB（太字节）数据量的10亿中国公民的户籍、身份证等个人敏感信息，以及数十亿条报警记录等资料，并以10个比特币，约20万美元的价格出售。科技专家表示，如果属实，这将是历史上最大的个人数据泄露事件之一。

据《华尔街日报》报导，根据黑客上周四在一个流行的在线网络犯罪论坛上发布的一篇宣传其可用性的帖子，该缓存据称包括从上海警方窃取的数十亿条记录，其中包含十亿中国公民的数据。该帖子于周末开始在社交媒体上流传，将出售泄漏数据的价格定为10 比特币，或大20万美元。

网络安全专家表示，声称的黑客攻击令人震惊，不仅是因为其所谓的规模，如若属实这将是有史以来最大的个人数据泄露事件的记录之一，也是已知的中国最大的黑客攻击，还因为所谓政府数据库中包含的信息的敏感性。

报导称，黑客发布的数据样本包括75万条记录，包括个人姓名、身份证号码、电话号码、生日和出生地，以及向警方报告的犯罪和事件的详细摘要。这些案件的范围从小偷小摸和网络欺诈事件到家庭暴力的报告，最早可以追溯到1995年到最近到2019年。

虽然数据泄漏的范围仍未得到证实，但《华尔街日报》的记者通过给电话号码被列出的人打电话核实了泄露的几条记录。有五个人确认了所有的数据，包括除警方外很难从任何渠道获得的案件细节。还有四个人确认了基本信息，如他们的名字，然后便挂断电话。

一位女士对泄露细节的准确性感到震惊，她询问记者有关她的信息是否来自她在2016年的案件档案中报告被盗的iPhone。根据黑客公布的记录，另一名姓魏的男子在被骗子说服加入投资计划后被骗了3万元，听到他的数据疑似被泄露后，他叹了口气说，“我们都在裸奔”。

澳大利亚的网络安全专家亨特 (Troy Hunt) 表示，该数据库的庞大规模——包括中国 14 亿人口中的大多数引起了一些怀疑，他对发布信息的用户的匿名性也是如此。亨特认为，虽然大多数黑客都是出于经济动机，但索要大笔资金的行为也增加了这种说法被夸大或伪造的可能性。

报导指，记者尝试的几个号码无效或不再使用。在中国，手机用户每隔几年更换一次号码的情况并不少见。上海警方、上海市宣传办公室和中国互联网监管机构没有回应置评请求。在该数据库已发布出售的论坛上，黑客或组织声称此次入侵针对的是阿里巴巴集团旗下的云计算子公司阿里云，他们称阿里云是上海警方数据库的主机。阿里巴巴表示已知晓此事并正在调查此事。

周一，加密货币交易所币安首席执行官赵长鹏在推特上表示，该公司已检测到黑客攻击，并“加强了对可能受到影响的用户的验证”。币安没有回应置评请求。

近年来，数据泄露在全球范围内十分猖獗。根据网络安全公司风险基础安全(Risk Based Security) 的数据，到2021 年，共有4145起公开披露的违规行为共同暴露了超过220亿条记录。

但如此大规模的泄密事件在中国尤其敏感，黑市数据经纪人曾经在中国贩卖个人数据的生意兴隆。过去几年，中国官方加大了对个人信息的保护力度，最近一次是在2021年通过了《个人信息保护法》，部分原因是公众普遍对个人信息被泄露的程度感到愤怒。

网络安全专家表示，此类违规行为可能会对受影响的个人产生持久且不可预测的后果。亨特说：“试图从互联网上删除您的信息就像试图从游泳池中删除小便一样。”他说：“它只是进入了一个暴露数据的大熔炉，你不知道哪一点来自哪里。”

亨特补充说，泄露事件凸显了中国互联网防火墙在防止其公民数据被黑客入​​侵和在线发布以供任何人访问方面几乎无能为力。“尽管中国尽了最大努力，但互联网确实没有国界，”他说。