疑駭客入侵阿裡雲 上海公安數據或半年前已洩露

2022年07月04日時政
【新唐人北京時間2022年07月04日訊】上海公安系統數據庫洩露事件日前在國際社交平台上被踢爆。有了解部分內情的人士向外媒披露,是信息存儲供應商阿裡雲的系統有漏洞造成了這次嚴重洩密事件,而且很大可能在去年就已經洩露,只是現在才被人拿出來售賣,上海原公安局長龔道安去年落馬被查可能與此也有關係。
週日(7月3日),國際社交平台電報(Telegram)頻道爆出上海公安系統數據庫已被洩露的消息,據稱被泄露的信息涉及10億名居民的戶籍、身分證、手機號碼等個人敏感信息,以及數十億條警情資訊,包括報案時間、報案人姓名、電話、具體案件描述等內容,容量高達23.88TB。信息發布者聲稱,想要取得全部資料,須支付10個比特幣(約20萬美元)。
週一,了解此事件部分內情的常先生告訴自由亞洲電台,上述信息是由上海市公安系統存儲在雲端,因該系統存在安全隱患,造成重大泄密事故,而現在已經公開泄露出去的資料都是真實的。
他說:「大概率是從阿裡雲泄露的,當時上海市公安局的存儲信息的供應商是阿裡雲,沒用騰訊,因為當時龔道安覺得阿裡雲比較好用。」
常先生表示,那些信息很大可能在去年已泄露出去,但現在才被人拿出來公開售賣,「上海調查去年落馬的公安局局長龔道安(涉受賄案)可能有關」 。
常先生還提到,現在很多人已經下載了一部分被洩露的數據信息,境外各個領域的專家通過研究那些數據樣品,分別對中國人口結構、消費群體、生活習慣以及犯罪行為等情況進行分析。
自由亞洲電台的報導援引「黑客技術」網站的消息指出,從售賣者文內所說的信息來看,本次數據庫洩密事件涉及的主機為:oss-cn-shanghai-shga-d01-a.ops.ga.sh,而該地址屬於公安局域網,與互聯網做了物理隔離,由阿裡雲提供私有雲服務。
事實上,早在2019年2月份,阿裡雲就曾因代碼託管平台隱私權限設置問題發生爭議。當時一位網絡工程師向媒體爆料說,自己登陸阿裡雲之後可以訪問眾多公司的「內部」代碼,而最終問題指向是阿裡雲代碼託管平台系統默認設置了 Internal(站內登錄可見),企業未更改。
而據中國媒體《經濟觀察報》2021年8月26日報導,當時已頻頻有阿裡雲用戶向媒體反饋數據泄露的問題。據用戶的投訴,他們頻頻接到與阿裡雲相關的第三方推銷電話,而對方能準確說出用戶姓名以及用戶阿裡雲上服務器上使用的公司名稱等。
對此,阿裡雲曾在其官方微博回應稱,據該公司自查,阿裡雲一電銷員工利用工作便利私下獲取了客戶聯繫方式,並透露給分銷商員工,由此引發客戶投訴。
2021年12月23日,阿裡雲微信官方公眾號還曾經發文稱,阿裡雲一名研發工程師發現了該公司也在使用的Log4j2組件有一個安全bug,遂按業界慣例以郵件方式向軟件開發方阿帕奇(Apache)開源社區報告這一問題並請求幫助。
公開的資訊顯示,Log4j2是開源社區Apache旗下的開源日誌組件,被全世界企業和組織廣泛應用於各種業務系統開發,但經Apache開源社區確認和證實,這是一個全球性的重大安全漏洞。
由於阿裡雲在早期未意識到該漏洞的嚴重性,未及時向同行共享漏洞信息,也未及時向有關監管機構報告,中共工信部於2021年12月22日宣布暫停阿裡雲網絡安全威脅信息共享平台合作單位資格6個月。
此外,對於這次上海公安系統數據洩露事件,有觀點認為該事件現在被曝光,其背後存在政治動機。
自由亞洲電台報導稱,時事評論人士李昂認為,此次大數據被泄露並非一般的駭客和手段,這些資料駭客早就掌握了,只是選擇一個時機公布。而駭客選擇在中共「二十大」前幾個月公開這些數據,「發布者的政治意圖超越對物質財富的追求」。
(記者黎明綜合報導/責任編輯:林清)