上海公安數據庫泄露事件是2022年7月初上海公安數據庫遭入侵,駭客在网络犯罪论坛公开出售的中国大陆居民信息和警察案件数据的一起大規模資料洩漏事件。這批數據被稱作上海警察數據庫(英語:Shanghai police database),據稱包含逾十億居民的個人資料。
數據[编辑]
被出售數據標價10比特币(合时价約美元20万或人民幣134萬)。出售数据的匿名人士称,这批泄露自上海市公安局的数据由总计逾23TB的多個部分构成,涉及逾十亿中國大陸居民,包含姓名、地址、出生地、身份证号码、照片、手机号码和刑事案件资讯。[1]網上流傳的截圖顯示,這批數據提供有巨量且詳盡的警察情資,包含報案時間、報案人電話和報案事由。對數據樣本的初步分析顯示,數據庫中的個人信息来自中國大陸各地的居民,不限於上海一地。[2][3][4]
據華爾街日報引述網絡安全研究者的消息,這些數據本身被安全地存儲,但一個用於訪問和管理數據库的控制台被开放在广域网且没有设置密码,以致于任何具备基础技术能力的人都能轻易地拿走数据。安全研究者还指出,这个数据库自从2021年4月起就一直在线,直到2022年6月中旬(即事发前一月)被黑客清空数据并留言勒索10比特币。而即便历经勒索,及至泄漏事件曝光的初期,数据库仍处于开放状态,直到事件引起更广泛关注。两位不同的安全研究者证实,数据库中一个包含姓名、生日、地址、身份证和身份证照片在内的数据表大约有9亿7000万列。如果其中没有重复,则其来自同等数量的居民个人。这一数据表对有犯罪记录的居民做出标记,例如交通违法者、被“追逃”者、被控犯有强奸或杀人罪者。此外,它还将需要被密切监控者特别标记——华尔街日报指出,这表示被视为对社会秩序构成威胁的人,在政府监控系统中很常见。[5]
反應[编辑]
据报道,当局已在微信、微博等社交媒体平台進行內容審查以阻止消息流傳[6][7][2],但尚未对此事做出證實或公开回应。彭博新闻社就此事传真询问中央网信办和上海市警察部门,也未获得及时回应[4]。
据称被洩露的數據託管在阿里雲平台,阿里巴巴集团的云计算部门高管已被上海政府部门约见。[8]
評論[编辑]
评论認爲,若数据量属实,这将是中国大陆有史以来最大规模的数据泄漏事件[7]。彭博新闻社指过去几年中中国大陆有多起数据泄漏事件,例如2016年中国大陆官员及企业高管个人信息泄漏[9]、2020年微博账号信息泄漏以及2022年新疆再教育营信息泄漏等,并批评中华人民共和国境内的数据泄漏事件少有披露而缺乏透明度。[4]
华尔街日报指出,当局近年来将数据安全和隐私推作高优先级的事项,并通过一系列法律限制商业性隐私收集及阻止数据流出国境。与此同时,政府部门通过国家级的监控设施收集大量信息以加强对社会的控制。就此,一些中国的科技政策研究者认为,这批泄漏自政府机构、正在境外流传的数据资料,可能会动摇这些监控系统能保护国家安全的论点。他们认为,索取更多信息以提升信息安全的方法存在中心矛盾。[5]
參見[编辑]
数据泄露
中华人民共和国大规模监控
天网 (中国)
新疆公安文件
数据泄漏事件列表(英语:List_of_data_breaches)
深圳振华数据信息技术
参考资料[编辑]
^ ChinaDan. 2022 - SHGA Shanghai Gov National Police database. breached.to. 2022-06-30 [2022-07-05]. (原始内容存档于2022-07-06).
^ 2.0 2.1 網傳上海公安系統遭駭 10億公民個資售20萬美元. 中央社. [2022-07-04]. (原始内容存档于2022-07-05) (中文(臺灣)).
^ It is spread on the Internet that the data of 1 billion residents in the Shanghai National Police database has been trafficked. China Posts English. 2022-07-03 [2022-07-04]. (原始内容存档于2022-07-07) (美国英语).
^ 4.0 4.1 4.2 Hackers Claim Theft of Police Info in China’s Largest Data Leak. 彭博新聞社. 2022-07-04 [2022-07-04]. (原始内容存档于2022-07-07) (英语).
^ 5.0 5.1 Singapore, Karen Hao in Hong Kong and Rachel Liang in. China Police Database Was Left Open Online for Over a Year, Enabling Leak. Wall Street Journal. 2022-07-06 [2022-07-07]. ISSN 0099-9660. (原始内容存档于2022-08-10) (美国英语).
^ China censors news of alleged hacking of Shanghai police database. Financial Times. 2022-07-05 [2022-07-06]. (原始内容存档于2022-07-05).
^ 7.0 7.1 聯合新聞網. 上海公安數據庫傳遭駭 10億陸民訊息20萬美元網上兜售. 聯合新聞網. 20220704T083516Z [2022-07-04]. (原始内容存档于2022-07-04) (中文(臺灣)). 请检查|date=中的日期值 (帮助)
^ Karen Hao. 消息人士称阿里巴巴高管因警方数据库泄露事件被上海当局约见. 华尔街日报. 2022-07-15 [2022-07-16]. (原始内容存档于2022-07-20).
^ 推特驚現中國富豪隱私 馬雲、習姐夫中招|蘋果新聞網|蘋果日報. AppleDaily. [2022-07-05]. (原始内容存档于2022-07-06) (中文(臺灣)).
查论编电脑入侵事件
2003年骤雨计划
2009年极光行动
2010年澳大利亚网络攻击(英语:February 2010 Australian cyberattacks)
2010年偿还行动(英语:Operation Payback)
2011年DigiNotar黑客入侵事件
2011年突尼斯行动(英语:Operation Tunisia)
2011年PSN个人信息泄露事件
2011年反安全行动(英语:Operation AntiSec)
2012–2013年斯特拉特福公司电邮泄露事件
2012年领英黑客入侵事件(英语:2012 LinkedIn hack)
2013年南韓網路攻擊
2013年Snapchat黑客入侵事件
2014年Tovar行动(英语:Operation Tovar)
2014年日本文殊核电站电脑病毒事件
2014年名人照片泄露事件
2014年心脏出血漏洞
2014年破壳漏洞
2014年贵宾犬漏洞
2014年索尼影业黑客入侵事件
2015年FREAK漏洞
2015年美国联邦人事管理局资料外泄案
伟易达集团
孟加拉银行遭黑客入侵事件
Dyn网络攻击
俄羅斯干預美國總統選舉
WannaCry勒索病毒
2017年威斯敏斯特网络攻击(英语:2017 Westminster cyberattack)
Petya勒索病毒
2017年乌克兰受网络攻击事件(英语:2017 cyberattacks on Ukraine)
Equifax数据泄露
德勤
熔毀/幽灵漏洞
美国中央情报局被指对中国大陆网络渗透攻击
Zoom轟炸
Twitter比特币骗局
2020年美国联邦政府数据泄露事件
殖民管道網絡攻擊
Log4j2漏洞事件
2022年俄罗斯对乌克兰的网络攻击
2022年哥斯达黎加政府遭勒索软件攻击
上海公安數據庫泄露事件
2022年西北工业大学遭网络攻击事件
2023年美国五角大楼文件泄露事件
2024年角川与Niconico被入侵瘫痪
安洵文件泄露事件
2024年美國電信黑客入侵
2024年美國財政部黑客入侵
2025年亚洲冬季运动会遭受网络攻击事件
政府机构
美国网络司令部
美国国家安全局特定入侵行动办公室
美国互联网犯罪投诉中心(英语:Internet Crime Complaint Center)
中华人民共和国国家计算机网络与信息安全管理中心
中国人民解放军战略支援部队(已撤销)
61398部队
61486部队
中国人民解放军网络空间部队
朝鲜网络部队(日语:北朝鮮サイバー軍)(朝鮮人民軍第121局)
叙利亚电子军(英语:Syrian Electronic Army)
日本网络防卫队(日语:自衛隊サイバー防衛隊)
国际打击网络威胁多边伙伴(英语:International Multilateral Partnership Against Cyber Threats)
欧洲网络犯罪中心
中華民國數位發展部
中華民國國防部資通電軍指揮部
烏克蘭資訊科技軍
新加坡共和國數碼部隊
黑客组织
匿名者
乌克兰战争期间的行动(英语:Anonymous and the 2022 Russian invasion of Ukraine)
匿名者64
网络金雕(英语:CyberBerkut)
Derp(英语:Derp (hacker group))
Goatse安全(英语:Goatse Security)
Hacking Team
蜥蜴小队(英语:Lizard Squad)
LulzRaft(英语:LulzRaft)
LulzSec
NullCrew(英语:NullCrew)
RedHack(英语:RedHack)
TeaMp0isoN(英语:TeaMp0isoN)
地下纳粹(英语:UGNazi)
混沌计算机俱乐部
死牛崇拜
红客
韩国网络外交使节团
L0pht重工
方程式
隱形人安全集團
DarkSide
APT 27
网络游击队
个人
陳盈豪
约翰·德雷珀(英语:John Draper)
凯文·米特尼克
下村努
罗伯特·泰潘·莫里斯
凱文·波尔森
阿德里安·拉莫
Donncha O'Cearbhaill(英语:Donncha O'Cearbhaill)
杰里米·哈蒙德(英语:Jeremy Hammond)
乔治·霍兹
古驰法(英语:Guccifer)
阿尔伯特·冈萨雷斯(英语:Albert Gonzalez)
赫克特·蒙赛格 (萨布)(英语:Hector Monsegur)
杰克·戴维斯 (绿色雕塑)(英语:Topiary (hacktivist))
小丑(英语:The Jester (hacktivist))
weev(英语:weev)
加里·麦金农(英语:Gary McKinnon)
恶意软件
Careto (面具)(英语:Careto (malware))
CryptoLocker
Dexter(英语:Dexter (malware))
毒区(英语:Duqu)
FinFisher(英语:FinFisher)
火焰
Gameover ZeuS(英语:Gameover ZeuS)
Mahdi(英语:Mahdi (malware))
Metulji僵尸网络(英语:Metulji botnet)
NSA ANT产品目录(英语:NSA ANT catalog)
R2D2(英语:R2D2 (trojan))
Shamoon(英语:Shamoon)
Stars(英语:Stars virus)
震网
黑暗幽灵 (DCM)
震荡波蠕虫
手机恶意软件(英语:Mobile malware)
TeslaCrypt
VPNFilter
WannaCry
Petya
瑞晶
peacenotwar
概念·思想
《黑客宣言》
网络战
網路恐怖主義
黑客行动主义
駭客
电脑犯罪
软件破解(逆向工程)
手段·技术
安全漏洞
漏洞利用
高级长期威胁(APT)
零日攻击
DNS污染
缓冲区溢出
堆风水(英语:Heap feng shui)
堆噴射(英语:Heap spraying)
穷举攻击/蛮力攻击
跨站脚本攻击(XSS)
水坑攻击
偷渡式下载
SQL注入
中间人攻击
中途相遇攻擊
谷歌駭侵法