海量数据泄漏

原帖地址：https://breached.to/Thread-Selling-2022-SHGA-Shanghai-Gov-National-Police-database

数据来源是阿里云内网的 elastic 服务器，涉及如下的表：

person_address_label_info_slave QFpD25bKTJ2eQBxcbe2Aaw 90 0 546148916 0 172.2gb 172.2gb
nb_theme_address_merge_tracks_slave -bUMVB1uRRusUbbqZepEpA 300 0 37483779369 4 22.4tb 22.4tb
nb_theme_address_case_dwd_test 7COIWTt7QU-YPwWub8z_SQ 150 0 22375506 1749307 25.2gb 25.2gb
nb_theme_address_company_dwd-total fpnmEYB9SI6WevHnZIEwIA 150 0 1842856 0 2.8gb 2.8gb
nb_theme_address_case_dwd-total 7X8oNqULQnWFLpzHDaUTbg 150 0 1214119253 0 1tb 1tb
nb_theme_address_company_dwd_test g5f6l4LGQcGL3oQ6ON2Bbw 150 0 2017931 0 4.3gb 4.3gb
person_address_label_info_master t64pp9WnS3maY9jBjzTtiw 90 0 969830088 0 282.8gb 282.8gb

其中包含十亿级别的全国各地的公民信息，以及几十亿的上海辖区内报警信息，总共二十多 TB 的数据。黑客在原帖中放出了大小为 108MB 的样本压缩包，其中包含三个文件，分别是：公民详细信息（包含住址、身高、电话号码、籍贯等等）、报警详细信息（包含报警人姓名电话、案件发生地坐标等等），还有一个电话号码与地址的关联表。

样本数据本身的真实性可以得到验证，至于黑客手上是否真的有他所声称的几十亿数据还留有疑问，毕竟对于这个数据规模的两来说，卖二十万美元实在是太便宜了。而如果是真的，那么将是建国以来最大的信息泄漏事件，可以说在这片土地上生活的每一个人都再也没有隐私可言。

而光是从 75 万条样本数据中，网友们就已经挖掘出不少有价值的内容：

• 上海免费数据中一些有意思的案情 提取出了一连串的离奇案件，照见社会的阴暗现实
• 如果上海免费数据是随机跳出来的，那我可能发现了生育率的秘密 根据公民信息中的出生年份绘制图标，可以看到出生人口断崖式下跌
• 看见有一条评论提到人口数据和wiki的吻合，我就去做了张图看看 和上面一条类似，分析了性别比例

这样的数据泄漏已经无力改变，我想作为普通人来说，除了在平日里做好防范诈骗的措施之外，还应该尽可能地避免在网络上留下敏感信息。网络是不安全的，任何关联到个人的信息在未来都有可能泄漏，而在国内实名制网络下这一问题更为严重。一些人满不在乎的认为自己的隐私不值钱，但当有一天电话对面的人准确地说出你的所有信息，你难道不会感到毛骨悚然？

后续1 媒体通过电话采访对样本数据的真实性进行验证

《华尔街日报》记者通过电话号码对泄漏记录进行了核实，其中5人确认了包括报案细节在内的所有信息，另有4人在挂断电话前确认了诸如名字之类的基本信息。一名女士对泄漏的详细信息的准确性感到震惊，询问记者信息是否来自报案信息中她在2016年遗失的iPhone。一名曾被骗取3万元的男子在听到他的数据被泄漏后形容大家是在“裸奔”。不过也有几个号码无效或不再使用。

即使微博等社交媒体极力封锁消息，但仍引发大量关注。有网民呼吁官方回应：“震惊，也不知道真的假的，要假的赶紧辟谣啊！”“说实话我的信息泄露与否已经无所谓了，但掌握国家机密的人和科研人员的信息，这要泄露了，间谍窃听那简直不要太容易。”

上海当局尚未对该事件做出公开回应。上海市公安局、上海市政府新闻办和中国网信办没有立即回复置评请求。加密货币交易所币安创始人兼首席执行官赵长鹏周一称，该公司检测到来自一个亚洲国家的十亿公民记录被泄漏，增加了对潜在受影响用户的验证程序。不过他未具体说明是哪一个国家。

目前尚不清楚黑客是如何进入上海公安数据库的。网络安全专家在网上流行的一种解释称，此次入侵涉及第三方云服务。有说法称，他们通过托管该数据库的阿里云获得了访问权限。阿里巴巴称，正在调查该事件。 来源：https://t.me/tnews365

后续2 专家确认数据泄漏的源头

有信安咨询商受访介绍，上海公安所泄数据库的Kibana操作面板一直暴露在公网地址且未设密码。受访专家说，这类错误配置很常见，但未设防的数据规模竟达26.4TB还是令人震惊。 Shadowbyte负责人Vinny Troia受访说今年1月扫描到该面板入口。SecurityDiscovery负责人Bob Diachenko说4月27日扫描到面板入口，又说估计面板去年4月起即一直暴露；6月中旬数据突然被抹除、仅留下几条字据说“您的数据一切安全、但需用10BTC提取”。论坛兜售帖文是6月30日发表；7月1日再去检视发现勒索字据已消失，面板仍对公网开放、但数据量减少到了7GB；周末事件在公众发酵，面板才下线。 至于网友发现2020年一篇CSDN博客不慎泄露疑同属上海公安的DataHub服务访问密钥，受访专家认为与本次泄露无关。 （华尔街日报 ，CNN ）

来源：https://t.me/tnews365