上海公安資料庫洩露事件

上海公安資料庫洩露事件是2022年7月初上海公安資料庫遭入侵，駭客在網路犯罪論壇公開出售的中國大陸居民資訊和警察案件資料的一起大規模資料洩漏事件。這批數據被稱作上海國家警察資料庫（英語：Shanghai National Police Database，或SHGA Database），據稱包含逾十億居民的個人資料。

數據

被出售數據標價10比特幣（合時價約美元20萬或人民幣134萬）。出售資料的匿名人士稱，這批洩露自上海市公安局的資料由總計逾23TB的多個部分構成，涉及逾十億中國大陸居民，包含姓名、位址、出生地、身分證號碼、相片、手機號碼和刑事案件資訊。^[1]網上流傳的截圖顯示，這批數據提供有巨量且詳盡的警察情資，包含報案時間、報案人電話和報案事由。對數據樣本的初步分析顯示，資料庫中的個人資訊來自中國大陸各地的居民，不限於上海一地。^[2]^[3]^[4]

據華爾街日報引述網路安全研究者的訊息，這些數據本身被安全地儲存，但一個用於訪問和管理數據庫的控制台被開放在廣域網路且沒有設定密碼，以致於任何具備基礎技術能力的人都能輕易地拿走資料。安全研究者還指出，這個資料庫自從2021年4月起就一直線上，直到2022年6月中旬（即事發前一月）被駭客清空資料並留言勒索10比特幣。而即便歷經勒索，及至洩漏事件曝光的初期，資料庫仍處於開放狀態，直到事件引起更廣泛關注。兩位不同的安全研究者證實，資料庫中一個包含姓名、生日、位址、身分證和身分證相片在內的資料表大約有9億7000萬列。如果其中沒有重複，則其來自同等數量的居民個人。這一資料表對有犯罪記錄的居民做出標記，例如交通違法者、被「追逃」者、被控犯有強姦或殺人罪者。此外，它還將需要被密切監控者特別標記——華爾街日報指出，這表示被視為對社會秩序構成威脅的人，在政府監控系統中很常見。^[5]

反應

據報道，當局已在微信、微博等社群媒體平台進行內容審查以阻止訊息流傳^[6]^[7]^[2]，但尚未對此事做出證實或公開回應。彭博新聞社就此事傳真詢問中央網信辦和上海市警察部門，也未獲得及時回應^[4]。

據稱被洩露的數據代管在阿里雲平台，阿里巴巴集團的雲端運算部門高管已被上海政府部門約見。^[8]

評論認爲，若資料量屬實，這將是中國大陸有史以來最大規模的資料洩漏事件^[7]。彭博新聞社指過去幾年中中國大陸有多起資料洩漏事件，例如2016年中國大陸官員及企業高管個人資訊洩漏^[9]、2020年微博帳號資訊洩漏以及2022年新疆再教育營資訊洩漏等，並批評中華人民共和國境內的資料洩漏事件少有披露而缺乏透明度。^[4]

華爾街日報指出，當局近年來將資料安全和隱私推作高優先級的事項，並通過一系列法律限制商業性隱私收集及阻止資料流出國境。與此同時，政府部門通過國家級的監控設施收集大量資訊以加強對社會的控制。就此，一些中國的科技政策研究者認為，這批洩漏自政府機構、正在境外流傳的資料資料，可能會動搖這些監控系統能保護國家安全的論點。他們認為，索取更多資訊以提升資訊安全的方法存在中心矛盾。^[5]

參見

參考資料

[1]
ChinaDan. 2022 - SHGA Shanghai Gov National Police database. breached.to. 2022-06-30 [2022-07-05]. （原始內容存檔於2022-07-06）.
[2]
網傳上海公安系統遭駭 10億公民個資售20萬美元. 中央社. [2022-07-04]. （原始內容存檔於2022-07-05）（中文（臺灣））.
[3]
It is spread on the Internet that the data of 1 billion residents in the Shanghai National Police database has been trafficked. China Posts English. 2022-07-03 [2022-07-04]. （原始內容存檔於2022-07-07）（美國英語）.
[4]
Hackers Claim Theft of Police Info in China’s Largest Data Leak. 彭博新聞社. 2022-07-04 [2022-07-04]. （原始內容存檔於2022-07-07）（英語）.
[5]
Singapore, Karen Hao in Hong Kong and Rachel Liang in. China Police Database Was Left Open Online for Over a Year, Enabling Leak. Wall Street Journal. 2022-07-06 [2022-07-07]. ISSN 0099-9660. （原始內容存檔於2022-08-10）（美國英語）.
[6]
China censors news of alleged hacking of Shanghai police database. Financial Times. 2022-07-05 [2022-07-06]. （原始內容存檔於2022-07-05）.
[7]
聯合新聞網. 上海公安數據庫傳遭駭 10億陸民訊息20萬美元網上兜售. 聯合新聞網. 20220704T083516Z [2022-07-04]. （原始內容存檔於2022-07-04）（中文（臺灣））. 請檢查|date=中的日期值 (幫助)
[8]
Karen Hao. 消息人士称阿里巴巴高管因警方数据库泄露事件被上海当局约见. 華爾街日報. 2022-07-15 [2022-07-16]. （原始內容存檔於2022-07-20）.
[9]
推特驚現中國富豪隱私馬雲、習姐夫中招｜蘋果新聞網｜蘋果日報. AppleDaily. [2022-07-05]. （原始內容存檔於2022-07-06）（中文（臺灣））.

[1] [1]
ChinaDan. 2022 - SHGA Shanghai Gov National Police database. breached.to. 2022-06-30 [2022-07-05]. （原始內容存檔於2022-07-06）.

[:0-2] [2]
網傳上海公安系統遭駭 10億公民個資售20萬美元. 中央社. [2022-07-04]. （原始內容存檔於2022-07-05）（中文（臺灣））.

[3] [3]
It is spread on the Internet that the data of 1 billion residents in the Shanghai National Police database has been trafficked. China Posts English. 2022-07-03 [2022-07-04]. （原始內容存檔於2022-07-07）（美國英語）.

[:1-4] [4]
Hackers Claim Theft of Police Info in China’s Largest Data Leak. 彭博新聞社. 2022-07-04 [2022-07-04]. （原始內容存檔於2022-07-07）（英語）.

[:2-5] [5]
Singapore, Karen Hao in Hong Kong and Rachel Liang in. China Police Database Was Left Open Online for Over a Year, Enabling Leak. Wall Street Journal. 2022-07-06 [2022-07-07]. ISSN 0099-9660. （原始內容存檔於2022-08-10）（美國英語）.

[6] [6]
China censors news of alleged hacking of Shanghai police database. Financial Times. 2022-07-05 [2022-07-06]. （原始內容存檔於2022-07-05）.

[udn-7] [7]
聯合新聞網. 上海公安數據庫傳遭駭 10億陸民訊息20萬美元網上兜售. 聯合新聞網. 20220704T083516Z [2022-07-04]. （原始內容存檔於2022-07-04）（中文（臺灣））. 請檢查|date=中的日期值 (幫助)

[8] [8]
Karen Hao. 消息人士称阿里巴巴高管因警方数据库泄露事件被上海当局约见. 華爾街日報. 2022-07-15 [2022-07-16]. （原始內容存檔於2022-07-20）.

[9] [9]
推特驚現中國富豪隱私馬雲、習姐夫中招｜蘋果新聞網｜蘋果日報. AppleDaily. [2022-07-05]. （原始內容存檔於2022-07-06）（中文（臺灣））.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]