10亿个人数据泄露始末:为什么“安全的软件”不安全?
2022年,上海国家XX(SHGA)数据库被泄露。这个数据库包含大量关于十亿公民的数据和信息。该数据库包含有关10亿居民和数十亿案件记录的信息,包括:姓名、地址、出生地、身份证号码、手机号码、所有案件细节。这个数据库是阿里云托管的。
另一个样本集里是警方的案件记录,包括报案的犯罪记录以及电话号码和身份证等个人信息。 这些记录覆盖的时间范围从1997年至2019年。还有一个样本集里的信息似乎是未全部显示的个人手机号码和地址。 《纽约时报》的记者拨打了这些警方数据样本中一些人的电话,四名接听电话者证实了数据细节。 另外四人在确认了自己的姓名后挂断了电话。记者联系到的这些人都说,他们此前没听说数据泄露的事情。 警方记录中的一个案件数据包括一名男子的姓名,记录称他在2019年因遭遇诈骗报警,称花了大约3000元买烟,结果发现香烟发霉了。记者通过电话联系到这名人士证实了泄露数据中描述的细节。
据LeakIX报道,最迟自2021年4月以来,包含大量公民信息的数据库已经通过一个不安全的后门链接可被公开访问 ——一个网址,只要你了解一点数据库技术,并知道该网址就可以不受限制的访问。 目前尚不清楚在14个月或更长时间内,有多少人访问或下载了该数据库。 网络安全研究员Vinny Troia表示,他第一次发现该数据库是在“一月份左右”,当时他在网上搜索开放数据库。 Troia说:“我找到数据库的时候,网站是公开的,任何人都可以访问,你所要做的就是注册一个帐户。自2021年4月以来,任何人都可以下载这些数据。”
23T很大可能是假的,所谓10亿条记录大概率是不同数据源拼的。比如样板数据中存在好几条adress后有”代收”, “xx收”字样, 并且name中有”狗蛋”.. 明显淘宝快递数据,
据《金融时报》报道,拥有3.64亿条记录的数据库使找到IP地址的任何人都可以搜索到用户的个人身份。 记录来自微信和QQ等应用程序,还包含个人识别公民身份证号码、照片、地址,GPS位置数据以及有关所用设备类型的信息。更糟糕的是,根据Gevers的说法,主数据库还将数据发送回其他17个远程服务器。 对于Gevers来说,数据最终似乎被分发到城市或省份的警察局 ——其他17台服务器可以通过其数字代码识别。 Gevers说:“有青少年的聊天。那些本应是私密的消息。我把一些信息扔进了谷歌翻译,把它们分享到了Twitter上。但我们止步于此——我认为,如果我们开始更深入的研究他们的对话,他们不会喜欢这种行为。”
微信扫码关注该文公众号作者
戳这里提交新闻线索和高质量文章给我们。
来源: qq