疑骇客入侵阿里云 上海公安数据或半年前已泄露

【新唐人北京时间2022年07月04日讯】上海公安系统数据库泄露事件日前在国际社交平台上被踢爆。有了解部分内情的人士向外媒披露,是信息存储供应商阿里云的系统有漏洞造成了这次严重泄密事件,而且很大可能在去年就已经泄露,只是现在才被人拿出来售卖,上海原公安局长龚道安去年落马被查可能与此也有关系。

周日(7月3日),国际社交平台电报(Telegram)频道爆出上海公安系统数据库已被泄露的消息,据称被泄露的信息涉及10亿名居民的户籍、身份证、手机号码等个人敏感信息,以及数十亿条警情资讯,包括报案时间、报案人姓名、电话、具体案件描述等内容,容量高达23.88TB。信息发布者声称,想要取得全部资料,须支付10个比特币(约20万美元)。

周一,了解此事件部分内情的常先生告诉自由亚洲电台,上述信息是由上海市公安系统存储在云端,因该系统存在安全隐患,造成重大泄密事故,而现在已经公开泄露出去的资料都是真实的。

他说:“大概率是从阿里云泄露的,当时上海市公安局的存储信息的供应商是阿里云,没用腾讯,因为当时龚道安觉得阿里云比较好用。”

常先生表示,那些信息很大可能在去年已泄露出去,但现在才被人拿出来公开售卖,“上海调查去年落马的公安局局长龚道安(涉受贿案)可能有关” 。

常先生还提到,现在很多人已经下载了一部分被泄露的数据信息,境外各个领域的专家通过研究那些数据样品,分别对中国人口结构、消费群体、生活习惯以及犯罪行为等情况进行分析。

自由亚洲电台的报导援引“黑客技术”网站的消息指出,从售卖者文内所说的信息来看,本次数据库泄密事件涉及的主机为:oss-cn-shanghai-shga-d01-a.ops.ga.sh,而该地址属于公安局域网,与互联网做了物理隔离,由阿里云提供私有云服务。

事实上,早在2019年2月份,阿里云就曾因代码托管平台隐私权限设置问题发生争议。当时一位网络工程师向媒体爆料说,自己登陆阿里云之后可以访问众多公司的“内部”代码,而最终问题指向是阿里云代码托管平台系统默认设置了 Internal(站内登录可见),企业未更改。

而据中国媒体《经济观察报》2021年8月26日报导,当时已频频有阿里云用户向媒体反馈数据泄露的问题。据用户的投诉,他们频频接到与阿里云相关的第三方推销电话,而对方能准确说出用户姓名以及用户阿里云上服务器上使用的公司名称等。

对此,阿里云曾在其官方微博回应称,据该公司自查,阿里云一电销员工利用工作便利私下获取了客户联系方式,并透露给分销商员工,由此引发客户投诉。

2021年12月23日,阿里云微信官方公众号还曾经发文称,阿里云一名研发工程师发现了该公司也在使用的Log4j2组件有一个安全bug,遂按业界惯例以邮件方式向软件开发方阿帕奇(Apache)开源社区报告这一问题并请求帮助。

公开的资讯显示,Log4j2是开源社区Apache旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发,但经Apache开源社区确认和证实,这是一个全球性的重大安全漏洞

由于阿里云在早期未意识到该漏洞的严重性,未及时向同行共享漏洞信息,也未及时向有关监管机构报告,中共工信部于2021年12月22日宣布暂停阿里云网络安全威胁信息共享平台合作单位资格6个月。

此外,对于这次上海公安系统数据泄露事件,有观点认为该事件现在被曝光,其背后存在政治动机。

自由亚洲电台报导称,时事评论人士李昂认为,此次大数据被泄露并非一般的骇客和手段,这些资料骇客早就掌握了,只是选择一个时机公布。而骇客选择在中共“二十大”前几个月公开这些数据,“发布者的政治意图超越对物质财富的追求”。

(记者黎明综合报导/责任编辑:林清)

相关文章
评论
新版即将上线。评论功能暂时关闭。请见谅!