中國上海公安數據庫儲存的10億中國公民戶籍、身分證號碼等個資驚傳遭駭客兜售。一位網名ChinaDan的匿名用戶上周在駭客論壇Breach Forums上發文,宣稱要以10個比特幣,相當於20萬美元(約新台幣597萬元)左右,出售超過23 TB數據量的中國國民個資。
專家稱,如果其言屬實,這將是中國警方70年來最大規模的數據洩露事件。《華爾街日報》(WSJ)向部分被害者查證,發現ChinaDan提供的個資確實是被害者的。而且被害者表示,他被洩漏的案件細節內容,理應是只有警方才會知道。WSJ向上海警方、上海市委對外宣傳辦公室和中國網路監管機構詢問回應,皆未收到回覆。
10億人的個資被洩?微博屏蔽討論更讓人懷疑
6月30日,ChinaDan在Breach Forums上以英語發文稱:「2022年,上海國家警察(SHGA)的數據庫被洩露。這個數據庫包含很多TB的數據和幾十億筆中國公民的訊息。」他並聲稱,數據庫包含「10億中國國民的訊息和幾十億的案件檔案,包括姓名、住址、出生地、身份證號碼、手機號碼,所有犯罪/案件詳情。」
ChinaDan還發布他獲得的其中一部份樣本,共75萬筆,包括姓名、身份證號碼、電話號碼、生日和出生地,以及從1995年到2019年的偷竊、網路詐欺、家暴等各種被警方紀錄在案的犯罪或報案紀錄。
網絡安全專家表示,若上海公安數據庫真的遭到駭客攻擊,那確實非常令人震驚,因為這代表海量敏感數據遭洩。上周末,此消息在中國社群平台微博和微信上傳開,許多人擔心可能是真的,到了3日下午,有關「數據洩露」的討論在微博上遭到屏蔽,平台網路審查的態度更讓民眾不安。
ChinaDan宣稱數據庫全稱為「Shanghai GOV (SHGA.gov.cn) National Police Database」。中國確實有國家警察,在上海設有上海公安局,但並沒有叫做「上海國家警察」的實體組織。因此目前尚無法證實這一數據庫的存在,也無法確認ChinaDan公布樣本的來源是否來自該數據庫。
被害者證實駭客公布的個資是他們的
WSJ致電給電話號碼在樣本中被洩露的中國民眾本人,向對方核實幾筆數據是否為真。有5人確認其所有被洩漏的數據無誤,其中包括除了警方之外應無人知曉的案件細節,另有4人向WSJ表示樣本提及的姓名與基本資料正確無誤。
一位女性對洩漏內容感到相當震驚,她懷疑自己的個資是否在2016年iPhone被偷時就外洩了。一名魏姓男子被投資詐騙人民幣3萬元(約新台幣13萬元),他聽到記者陳述的洩漏數據之後,嘆了口氣說:「我們都在裸奔。」這中國流行語的意思是人們毫無隱私。