重點一 :中國驚爆史上最大規模個資外洩,一個未設密碼的公開資料庫,導致高達40億筆、631GB的敏感紀錄曝光,影響恐遍及數億公民。
重點二:外洩資料種類廣泛, 包含微信(WeChat)、支付寶(Alipay)交易紀錄、信用卡號、居住地址及身分證號碼,足以拼湊出完整的個人動態。
重點三 :資料庫來源成謎,研究人員推測其為用於監控或建立個人檔案的中央化數據庫。該資料庫被發現後迅速關閉,受害者幾乎無法採取任何補救措施。
資安研究機構 Cybernews 近期揭露一場恐為中國有史以來最嚴重的資料外洩事件。一個容量高達631GB、包含40億筆紀錄的巨型資料庫,在未設任何密碼的情況下被公諸於世,估計有數億中國民眾的個人敏感資料遭到洩露。
資安研究員 Bob Dyachenko (鮑勃·迪亞琴科) 及其團隊發現,此資料庫 meticulously 彙整了大量個人數據,其規模與深度前所未見。 外洩的資料涵蓋範圍極廣,從騰訊(Tencent)旗下的通訊軟體微信(WeChat)用戶資料,到阿里巴巴集團的支付寶(Alipay)金融細節,乃至於信用卡號、居住地址、身分證號碼等核心個資,幾乎無所不包。
專家警告,一旦這些資料落入不法份子手中,後果不堪設想,從大規模的釣魚詐騙、勒索,到由國家級行為者發動的情報蒐集與假訊息作戰,都可能發生。
數據種類驚人!涵蓋金融、通訊、身分三大面向
根據 Cybernews 團隊在資料庫被關閉前一窺的內容,其數據被分門別類存放在至少16個資料集中。其中最大的集合名為「wechatid_db」,包含超過8.05億筆紀錄,直指微信用戶資料。其次是名為「address_db」的集合,存放了超過7.8億筆帶有地理標識的住宅數據。
更令人擔憂的是,一 個名為「bank」的集合,內含超過6.3億筆金融資料,包括完整的支付卡號、用戶姓名、電話號碼及出生日期。 此外,一個中文命名的資料集「三要素核查」,也包含超過6.1億筆紀錄,研究人員推斷其內容為用戶的身分證號碼、電話和姓名。
若攻擊者將這些資料庫交叉比對,便能輕易掌握特定對象的居住地、消費習慣、財務狀況甚至債務情形。另外,超過3億筆關於支付寶(Alipay)卡片與權杖(token)資訊的紀錄,也讓用戶面臨帳號被盜用與身分竊取的巨大風險。
來源成謎!疑為大規模監控目的而設
儘管資料量龐大,但其擁有者身分至今成謎。研究團隊指出,資料庫中沒有任何可識別所有權的標記,且在被發現後不久(5月20日)便被迅速下線,使得追查來源更加困難。
研究人員表示: 「從外洩資料的龐大規模與多樣性來看,這很可能是一個中央化的數據匯集點,其目的可能是為了監控、建立個人檔案或數據加值。」
更引人注目的是,其中一個名為「tw_db」的集合,被認為包含與台灣(Taiwan)相關的詳細資料,但具體內容尚不清楚。
對於可能受影響的民眾而言,由於無法確認資料庫所有者,也缺乏官方通報管道,幾乎沒有任何直接的補救措施可以採取。此次事件再次凸顯了中國層出不窮的數據安全問題。
資料來源:cybernews
