2022年7月7日

 

在駭客自稱獲取了中國上海公安局系統內十億中國公民資料和警務記錄，並在網上兜售後，網路安全公司透露，上海警方今年曾因這一事件遭駭客勒索。網路安全專家表示，上海公安資料庫的安全性漏洞存在了14個月之久，數億公民資料洩露威脅了公民的隱私安全，也是對中國大資料治國政策的沉重打擊。

 

洩露事件範圍大、可信度高

此次洩露的上海公安記錄包含了近10億中國公民的姓名、身份證號碼、位址、電話號等個人身份資訊，其中還包括公民的警務報告、民事和刑事案件的涉案資訊。據《華爾街日報》星期三（7月6日）報導，西方網路安全公司表示，有關這個資料庫的管理和訪問功能的一個控制台（dashboard），自2021年開始一直保持打開狀態，任何有基本技術知識的人都可以進入複製或竊取其內容。

網路安全研究公司Security Discovery透露，該公司今年早些時候通過網路掃描發現，今年6月中旬，在持續暴露了一年多後，資料庫中的資料突然被清除，取而代之的是一則寫給上海警方的勒索消息。據報導，駭客向上海公安勒索10個比特幣（價值約合20萬美元）。

上海公安顯然沒有支付這筆勒索。中國時間6月30日下午，一名署名ChinaDan的用戶在駭客論壇BreachForums上發帖說，以10比特幣（約合20萬美元）的價格出售這批包含10億中國公民、總量超過23TB的資料。

 

由於資料庫在網路空間暴露時間過長，這些資料很可能在6月30日之前就已經開始傳播，目前不清楚有多少人已經獲得了這些資料。

網路空間似乎還出現了對這筆海量資料買賣的討價還價和倒賣。一名署名defa的用戶在Breach Forums論壇7月6日發帖說：“20萬美元太貴了”，願意以10萬美元回收上海公安的洩露資料。

同一天，該網站有用戶以10萬美元要價，出售這批資料的部分內容。

 

此前有消息說，發生洩漏事件的上海公安資料庫由中國阿里巴巴的子公司阿里雲託管。美國有線電視新聞網（CNN）報導說，阿里巴巴表示“正在調查此事”，並將公佈任何最新消息。

駭客在販售資料的同時，提供了25萬個公民的資訊樣本，供公眾“免費”調閱。許多西方媒體通過撥打樣本資料庫中的個人電話，證實了其中一些個人資訊的真實性。

人口學家、美國威斯康辛大學麥迪森分校資深科學家易富賢在研究洩露的25萬人樣本資訊後說，這批資料的代表性很強，資料的分散度和隨機性“令人驚訝”。他在推特上發文說：“這位所謂的駭客（內鬼）可能確實掌握全國的人口資料，可能真的掌握其所聲稱的10億人口資料。”

 

他說：“上海公安洩露的25萬人口資料在各姓氏中分散度大，隨機性強……這25萬人包括了幾乎所有的縣，甚至幾乎所有人口上萬人的鄉鎮。”

截至發稿時，上海市公安局沒有回復美國之音通過電子郵件發出的置評請求。上海市政府和中國網路安全部門尚未對此次事件做出公開表態。

 

洩露讓中國政府顏面掃地

近年來，北京方面稱，國家將資料安全和隱私保護作為重中之重，通過了一系列法律法規，旨在限制包括個人資訊在內的敏感性資料的商業收集，並要求資料在國內儲存。與此同時，中國政府繼續通過全國性的數位監控設備收集大量資料，以對中國社會施加更嚴格的控制。

分析人士對上海公安當局掌握全國上億公民使用者資料的能力感到驚訝。一些中國科技政策專家表示，此次上海公安雲資料庫洩露的數量驚人，這將讓以“天地一體、雲網融合”特徵自居的中國科技政策制定和執行者顏面掃地。

荷蘭萊登大學現代中國研究助理教授、斯坦福大學網路政策中心“數位中國”（DigiChina）專案共同創辦人羅吉爾·克里默斯（Rogier Creemers）說：“去年我們看到（中國出臺）資料安全法和個人資訊保護法，但它（中國政府）同時也非常重視資料在政府治理中的作用。這種觀點認為，當政府擁有更多的資料，並且這些資料可以在不同的政府實體之間、在地方和中央之間更自由地流動時，政府可以更好地發揮作用。”

 

克里默斯說：“這樣看來，這次駭客事件當然讓他們十分難堪。”

“中國政府自身的數字野心帶來了風險，這起事件削減人們對中國政府管控這種風險能力的信任和信心。”他對美國之音說。

美國喬治梅森大學客座教授、網路安全專家黃基禎認為，此次上海公安資料洩露事件代表的是對“中國政府資料化發展”的一種打擊。

 

黃基禎目前同時擔任美國非政府組織全球公共事務研究所（iGAR）主席。他說，由於中國政府嚴格要求資料的當地語系化（data localization），政府對公民資訊保護不力將加劇人民對政府的不信任。

“這個中國大陸地區的資料在地化，代表政府掌握人民很多重要的資料。如果對政府不信任持續的惡化下去，這些資料就會造成很大的影響。”他說。

“上海洩密事件……增加了人民對政府更加的不信任——原本是相信政府，把個人資料給政府保管，而現在資料外泄，變成對政府越來越不信任。”

 

中國資訊濫用風險可能大幅增加

中國當局目前對上海公安資訊洩露事件的消息嚴防死守。在微博上，對“上海公安資料”或“上海公安資料洩露”的關鍵字搜索未能返回任何有關結果。許多被西方媒體聯繫到的資訊洩露當事人對記者報出他們的個人資訊感到驚訝。

雖然目前不清楚被洩露資料的傳播廣度，但在網路安全資訊專家看來，資訊被濫用的可能極高。

網路安全專家黃基禎說，公民的個人資料外泄可能導致假身份證件真假難辨，這對機場、政府設施等關鍵場所的人員檢驗帶來挑戰。

 

他說：“以海量資料的角度去看，（通過）研判這些個人的生物特徵，可以做出假的ID（身份證件），來進入一些場所或系統；更別說，假的ID會被用來申請假的信用卡，銀行帳號等。”

荷蘭萊登大學的克里默斯指出： “作為一個員警資料庫，它包含了人們犯罪記錄的資訊，如果你想勒索某人，這可能非常有用。”

美國有線電視新聞網CNN對資料庫樣本的分析發現，其中包括中國警方對2001年至2019年間的案件記錄，雖然大多數條目屬於民事糾紛，但也包括例如欺詐、強姦等刑事案件記錄。

 

由於資訊遭洩露的人數可能接近中國人口的70%，有分析說，這些資訊可能也有情報用途。

美國退休高級情報事務官員、情報事務專家尼古拉斯·埃菲迪米亞德斯對美國之音說：“（中國）平時的系統很不透明，這些類型的資料可以被用於識別外界感興趣的人。”

黃基禎說，此次資訊洩露事件雖然人為疏忽占主要因素，但人為因素和系統程式“其實是一體兩面”，洩露事件凸顯了中國政府自身對公民隱私安全保護不到位。

 

他說：“現在中國大陸推行資料化資產……習近平希望讓各個地方的資料都可以變成國家的資產，這樣的概念，我覺得這次的公安事件無疑也是對這種政策的一個打擊。“

“這肯定給上海地方政府帶來一個震撼。會不會有政治鬥爭的問題在裡面，也是值得關注。”