上海公安数据库泄露事件是2022年7月初上海公安数据库遭入侵,骇客网络犯罪论坛公开出售的中国大陆居民资讯和警察案件数据的一起大规模资料泄漏事件。这批数据被称作上海国家警察数据库(英语:Shanghai National Police Database,或SHGA Database),据称包含逾十亿居民的个人资料。

数据

被出售数据标价10比特币(合时价约美元20万或人民币134万)。出售数据的匿名人士称,这批泄露自上海市公安局的数据由总计逾23TB的多个部分构成,涉及逾十亿中国大陆居民,包含姓名、地址、出生地、身份证号码、照片、手机号码刑事案件资讯。[1]网上流传的截图显示,这批数据提供有巨量且详尽的警察情资,包含报案时间、报案人电话和报案事由。对数据样本的初步分析显示,数据库中的个人资讯来自中国大陆各地的居民,不限于上海一地。[2][3][4]

华尔街日报引述网络安全研究者的消息,这些数据本身被安全地存储,但一个用于访问和管理数据库的控制台被开放在广域网且没有设置密码,以致于任何具备基础技术能力的人都能轻易地拿走数据。安全研究者还指出,这个数据库自从2021年4月起就一直在线,直到2022年6月中旬(即事发前一月)被骇客清空数据并留言勒索10比特币。而即便历经勒索,及至泄漏事件曝光的初期,数据库仍处于开放状态,直到事件引起更广泛关注。两位不同的安全研究者证实,数据库中一个包含姓名、生日、地址、身份证和身份证照片在内的数据表大约有9亿7000万行。如果其中没有重复,则其来自同等数量的居民个人。这一数据表对有犯罪记录的居民做出标记,例如交通违法者、被“追逃”者、被控犯有强奸或杀人罪者。此外,它还将需要被密切监控者特别标记——华尔街日报指出,这表示被视为对社会秩序构成威胁的人,在政府监控系统中很常见。[5]

反应

据报道,当局已在微信微博等社交媒体平台进行内容审查以阻止消息流传[6][7][2],但尚未对此事做出证实或公开回应。彭博新闻社就此事传真询问中央网信办和上海市警察部门,也未获得及时回应[4]

据称被泄露的数据托管在阿里云平台,阿里巴巴集团的云计算部门高管已被上海政府部门约见。[8]

评论

评论认为,若数据量属实,这将是中国大陆有史以来最大规模的数据泄漏事件[7]彭博新闻社指过去几年中中国大陆有多起数据泄漏事件,例如2016年中国大陆官员及企业高管个人资讯泄漏[9]、2020年微博账号资讯泄漏以及2022年新疆再教育营资讯泄漏等,并批评中华人民共和国境内的数据泄漏事件少有披露而缺乏透明度。[4]

华尔街日报指出,当局近年来将数据安全隐私推作高优先级的事项,并通过一系列法律限制商业性隐私收集及阻止数据流出国境。与此同时,政府部门通过国家级的监控设施收集大量资讯以加强对社会的控制。就此,一些中国的科技政策研究者认为,这批泄漏自政府机构、正在境外流传的数据资料,可能会动摇这些监控系统能保护国家安全的论点。他们认为,索取更多资讯以提升资讯安全的方法存在中心矛盾。[5]

参见

参考资料

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.