hsingko


海量数据泄漏

原帖地址:https://breached.to/Thread-Selling-2022-SHGA-Shanghai-Gov-National-Police-database

数据来源是阿里云内网的 elastic 服务器,涉及如下的表:

person_address_label_info_slave QFpD25bKTJ2eQBxcbe2Aaw 90 0 546148916 0 172.2gb 172.2gb
nb_theme_address_merge_tracks_slave -bUMVB1uRRusUbbqZepEpA 300 0 37483779369 4 22.4tb 22.4tb
nb_theme_address_case_dwd_test 7COIWTt7QU-YPwWub8z_SQ 150 0 22375506 1749307 25.2gb 25.2gb
nb_theme_address_company_dwd-total fpnmEYB9SI6WevHnZIEwIA 150 0 1842856 0 2.8gb 2.8gb
nb_theme_address_case_dwd-total 7X8oNqULQnWFLpzHDaUTbg 150 0 1214119253 0 1tb 1tb
nb_theme_address_company_dwd_test g5f6l4LGQcGL3oQ6ON2Bbw 150 0 2017931 0 4.3gb 4.3gb
person_address_label_info_master t64pp9WnS3maY9jBjzTtiw 90 0 969830088 0 282.8gb 282.8gb

其中包含十亿级别的全国各地的公民信息,以及几十亿的上海辖区内报警信息,总共二十多 TB 的数据。黑客在原帖中放出了大小为 108MB 的样本压缩包,其中包含三个文件,分别是:公民详细信息(包含住址、身高、电话号码、籍贯等等)、报警详细信息(包含报警人姓名电话、案件发生地坐标等等),还有一个电话号码与地址的关联表。

样本数据本身的真实性可以得到验证,至于黑客手上是否真的有他所声称的几十亿数据还留有疑问,毕竟对于这个数据规模的两来说,卖二十万美元实在是太便宜了。而如果是真的,那么将是建国以来最大的信息泄漏事件,可以说在这片土地上生活的每一个人都再也没有隐私可言。

而光是从 75 万条样本数据中,网友们就已经挖掘出不少有价值的内容:

这样的数据泄漏已经无力改变,我想作为普通人来说,除了在平日里做好防范诈骗的措施之外,还应该尽可能地避免在网络上留下敏感信息。网络是不安全的,任何关联到个人的信息在未来都有可能泄漏,而在国内实名制网络下这一问题更为严重。一些人满不在乎的认为自己的隐私不值钱,但当有一天电话对面的人准确地说出你的所有信息,你难道不会感到毛骨悚然?

后续1 媒体通过电话采访对样本数据的真实性进行验证

《华尔街日报》记者通过电话号码对泄漏记录进行了核实,其中5人确认了包括报案细节在内的所有信息,另有4人在挂断电话前确认了诸如名字之类的基本信息。一名女士对泄漏的详细信息的准确性感到震惊,询问记者信息是否来自报案信息中她在2016年遗失的iPhone。一名曾被骗取3万元的男子在听到他的数据被泄漏后形容大家是在“裸奔”。不过也有几个号码无效或不再使用。

即使微博等社交媒体极力封锁消息,但仍引发大量关注。有网民呼吁官方回应:“震惊,也不知道真的假的,要假的赶紧辟谣啊!”“说实话我的信息泄露与否已经无所谓了,但掌握国家机密的人和科研人员的信息,这要泄露了,间谍窃听那简直不要太容易。”

上海当局尚未对该事件做出公开回应。上海市公安局、上海市政府新闻办和中国网信办没有立即回复置评请求。加密货币交易所币安创始人兼首席执行官赵长鹏周一称,该公司检测到来自一个亚洲国家的十亿公民记录被泄漏,增加了对潜在受影响用户的验证程序。不过他未具体说明是哪一个国家。

目前尚不清楚黑客是如何进入上海公安数据库的。网络安全专家在网上流行的一种解释称,此次入侵涉及第三方云服务。有说法称,他们通过托管该数据库的阿里云获得了访问权限。阿里巴巴称,正在调查该事件。 来源:https://t.me/tnews365

后续2 专家确认数据泄漏的源头

有信安咨询商受访介绍,上海公安所泄数据库的Kibana操作面板一直暴露在公网地址且未设密码。受访专家说,这类错误配置很常见,但未设防的数据规模竟达26.4TB还是令人震惊。 Shadowbyte负责人Vinny Troia受访说今年1月扫描到该面板入口。SecurityDiscovery负责人Bob Diachenko说4月27日扫描到面板入口,又说估计面板去年4月起即一直暴露;6月中旬数据突然被抹除、仅留下几条字据说“您的数据一切安全、但需用10BTC提取”。论坛兜售帖文是6月30日发表;7月1日再去检视发现勒索字据已消失,面板仍对公网开放、但数据量减少到了7GB;周末事件在公众发酵,面板才下线。 至于网友发现2020年一篇CSDN博客不慎泄露疑同属上海公安的DataHub服务访问密钥,受访专家认为与本次泄露无关。 (华尔街日报CNN

来源:https://t.me/tnews365