home bbs files messages ]

Forums before death by AOL, social media and spammers... "We can't have nice things"

   talk.politics.china      Discussion of political issues related t      73,176 messages   

[   << oldest   |   < older   |   list   |   newer >   |   newest >>   ]

   Message 71,693 of 73,176   
   Mobot to All   
   =?utf-8?Q?[WSJ]=20#=E4=B8=AD=E5=9B=BD=20   
   07 Mar 25 00:56:06   
   
   XPost: alt.chinese.text   
   From: mobot@fakemail.com   
      
   中国警方数   
   库在网上暴露超过一年,导致数   
   泄露   
      
   专家表示,上海警方的记录因一个公共仪表盘的   
   放访问而暴露,尽管数   
   本身被安全存储。Ng Han Guan/美联社   
      
   撰稿:Karen Hao(香港)与 Rachel Liang(新加坡)   
      
   翻译:ChatGPT o1   
      
   时长:约 6 – 8 分钟阅读   
      
   网络安全专家表示,今年早些时候他们发现的一   
   常见漏洞,让这起或许是史上最大规模的个人数   
   盗窃案——也是中国已知最大规模的网络安全漏   
   ——得以在互联网上轻易被   
   法分子获取。   
      
      
   这些网络安全专家透露,上海警方的记录——其中包含近   
   10 亿   
   中国公民的姓   
   、身份证号码、电话号码和警情报告——本身是   
   安全储存的。但用于管理和访问这些数   
   的“仪表盘”(   
   dashboard)被设在一个公共网络地址上,而且没有   
   置任何密码保护,使得任何掌握相对基础技术的   
   都能轻松进入,   
   制或窃取这些信息。   
      
   “他们居然会让如此海量的数   
   暴露在外,简直   
   可思议,”暗网情报公司 Shadowbyte 创始人 Vinny Troia   
   说。他的公司会扫描网络上未加防护的数   
   库,并于今年一月发现了上海警方的这份数   
   库   
      
      
   网络安全研究公司 SecurityDiscovery 的负责人 Bob Diachenko   
   表示,这个数   
   库从 2021 年 4 月起一直在网上暴露,直到上个月中旬数   
   突然被清空并被一个勒索字条取代。该公司同样   
   过定期网络扫描   
   今年早些时候发现了这个数   
   库,随后又观察到了这张勒索字条。   
      
   根   
    Diachenko 提供的截图,勒索字条写道:“your_data_   
   s_safe(你的数   
   是安全的),请联系以取回数   
   ……recovery10btc(赎回价 10 个比特币)。”这意   
   着只要支付 10 个比特币(约合 20 万美元)   
      
   可取回这批数   
   。   
      
   该勒索金额与上周四一   
   匿   
   用户在某网络犯罪论坛上提出的售价一致:对方   
   称持有从“上海国家警方数   
   库”窃取的数   
   亿条中国公民信息,并以相同的价格出售这批数   
   。   
      
   这条在周末出现在社交媒体上的帖子让网络安全   
   家感到担忧,   
   仅因为此次泄露规模巨大,还因为政府数   
   库中所含信息的敏感程度极高。   
      
   上海市政府以及中国网络监管机构(国家互联网   
   息办公室)尚未对此置评。   
      
   网络安全专家已经收集到新的证   
   ,证实了该数   
   库的真实性,并揭示了为何如此庞大的私人信息   
   落入网络犯罪分子之手。   
      
   他们表示,这个“仪表盘”就像一扇大开着的门   
   让人能直接进入数   
   金库。   
   使在所有数   
   被盗走后,这扇门依然没有被关上,直到该漏洞   
   公众视野中受到广泛关注后   
   被关闭。Troia 认为,   
   窃取这批数   
   的,很可能正是如今试图出售这些数   
   的同一个实体。   
      
   “通常情况下,如果勒索对象   
   支付赎金,攻击者就会在网上出售所盗数   
   ,”他补充道。   
      
   目   
   尚   
   清楚该数   
   库是无意间被公开访问,还是故意将其公开以便   
   数人更轻松地共享信息。Troia 和 Diachenko 都表示   
   类似的安全漏洞确实很普   
   ,但他们依然对发现如此之大且未加防护的数   
      
   库感到震惊。   
      
   两人还证实,匿   
   泄露者关于“超过 23 TB 数   
   ,涉及多达 10 亿人”的说法大体准确。数   
   库中   
   为“person_address_label_info_master”的文件包含公民的姓   
   、出生日期、住址、身份证号码及身份证   
   片,记录数将近 9.7 亿行。这意味着它可能包含   
   等数量的个人信息(假设没有   
      
   条目)。   
      
   这个文件会标注有犯罪记录的个人信息,包括交   
   违章者、被列为逃犯者,以及涉嫌强奸或杀人等严   
   罪行的人。它还包含了对“需要   
   点监控人员”的标注——在中国政府的监控系统中,这通   
   常指被视为对社会秩序具有潜在威胁的人群。   
      
   这次数   
   泄露凸显了一些政策研究者口中的“中国在信息   
   全方面的根本矛盾”:   
      
   一方面,北京近年来颁布了多项法律法规,宣示数   
   安全和隐私的优先地   
   ,限制商业机构对敏感数   
   (包括个人信息)的收集,并要求此类数   
   留在中国境内;另一方面,政府本身   
   通过   
   布   
   全国的数字化监控系统,持续收集海量数   
   ,以加强对中国社会的管控。   
      
   一些中国科技政策专家指出,涉事机构是一家政   
   部门,而现在这批信息在境外流转且数量   
   明,这可能会削弱北京政府关于此类监控系统能   
   保护国家安全的说法。   
      
   “现在谁该对谁负责还   
   清楚,”北京智库咨询公司 Trivium China 的科技政策研究主管   
   Kendra Schaefer 在推特上写道。她指出,通常由公安   
   负责网络犯罪调查,而上海警方等地方公安机关则归其管   
   。   
      
   中国官方尚未对此次数   
   泄露事件发表评论,中国社交媒体上关于此事的   
   论也正在被迅速删除。   
      
      
   [continued in next message]   
      
   --- SoupGate-DOS v1.05   
    * Origin: you cannot sedate... all the things you hate (1:229/2)   

[   << oldest   |   < older   |   list   |   newer >   |   newest >>   ]


(c) 1994,  bbs@darkrealms.ca