中國上海公安儲存雲端的資料庫疑遭駭,據傳有10億公民個資、報案紀錄外洩,恐為中國有史以來規模最大個資外洩事件之一,記者按資料致電當事人,確有多筆為真。
「華爾街日報」報導,6月30日有駭客在一個網路犯罪論壇猖狂放話,要價10枚比特幣、約20萬美元(約新台幣600萬元)出售上海公安系統數據庫,內包10億中國公民的戶籍等個資及數十億筆警方紀錄。駭客的貼文週末開始在社群媒體瘋傳。
資安專家表示,這起疑似駭客網攻令人震驚,不僅因其所謂規模,也攸關政府資料庫中包含的訊息敏感性。如若屬實,這將是有史以來規模最大的個資外洩事件之一,也是中國已知最大規模的駭客攻擊事件。
駭客發布的「樣品」據稱含75萬筆紀錄,內容涉及個人姓名、身分證號碼、電話號碼、生日和出生地,以及向警方報案的詳細摘要。案件包羅萬象,從寵物失竊的、網路欺騙到家暴不一而足,相關資料最早可溯及1995年,最近則為2019年。
儘管資料外洩範圍尚未獲得證實,華爾街日報記者依駭客樣本列出的電話號碼致電當事人,發現多筆紀錄屬實。有5個人確認資料正確,包括很難從警方外的任何管道所取得案件細節,還有4個人證實個人基本資料為真,例如姓名。
一名女子訝異外洩個資細節的準確性,還反問記者相關訊息是否源自於她2016年報失的iPhone。
根據駭客公布的紀錄,一名魏姓男子被騙加入投資計畫後損失3萬元人民幣,聽聞自己個資疑似外洩後,他嘆口氣說「我們都被看光光了」。
不過資安專家對駭客聲稱的全部內容抱持謹慎態度。
澳洲的網路安全顧問韓特(Troy Hunt)認為,大多數駭客犯案動機都是出於求財,索要大筆金錢的行徑增加駭客兜售說法被誇大或偽造的可能性,像是聲稱握有14億中國人裡10億人的個資。
此外,華爾街日報記者嘗試撥打的幾個手機號碼已無效或用。在中國,手機用戶隔幾年便換號碼的情況司空見慣。
上海警方、上海市委對外宣傳辦公室和中國網路監管機構並未答覆華爾街日報相關詢問。
駭客或駭客組織在論壇上聲稱,這次入侵針對的是阿里巴巴集團旗下的「阿里雲」計算公司,還說上海公安系統資料庫就儲存在阿里雲。
阿里巴巴表示已知曉此事,正進行相關調查。(中央社)
◤日本旅遊必買清單◢