網絡安全研究團隊發現中國可能遭遇史上最大規模數據外洩事件,40 億筆包含金融數據、微信和支付寶詳細數據等敏感個人資訊的文件遭公開曝光。這個容量達 631 GB 的巨型數據庫完全沒有密碼保護,主要影響中國數億用戶,令人擔憂的是受影響用戶幾乎無法保護自己。
數據庫包含 16 個敏感數據集
SecurityDiscovery.com 擁有人兼網絡安全研究員 Bob Dyachenko 與 Cybernews 團隊共同發現這個開放實例上的數十億筆曝光記錄。數據庫由眾多數據集組成,每個包含 50 萬至超過 8 億筆來自不同來源的記錄。
最大的數據集名為「wechatid_db」,包含超過 8.05 億筆記錄,極可能來自百度旗下的超級應用程式微信。第二大數據集「address_db」有超過 7.8 億筆包含地理標識的住宅數據記錄。第三大數據集簡單命名為「bank」,包含超過 6.3 億筆金融數據記錄,包括付款卡號碼、出生日期、姓名和電話號碼。
技術熟練的攻擊者只需擁有這三個數據集,便能關聯不同數據點,找出特定用戶的居住地點及其消費習慣、債務和儲蓄情況。
另一個以普通話命名的主要數據集,大致翻譯為「三要素檢查」,包含超過 6.1 億筆記錄,極可能包含身份證號碼、電話號碼和用戶名。名為「wechatinfo」的數據集包含近 5.77 億筆記錄,由於微信用戶 ID 儲存在另一個數據集中,wechatinfo 極可能包含元數據、通訊記錄或甚至用戶對話。
支付寶數據大規模外洩
另外 3 億筆記錄儲存在名為「zfbkt_db」的數據集中,包含支付寶卡和令牌資訊。攻擊者可能嘗試進行未經授權的付款、接管帳戶和盜取用戶身份。加上洩漏中另一個包含 2000 萬筆支付寶相關金融數據的較小數據集,這對數據外洩的用戶可能造成災難性後果。
超過 3.53 億筆記錄不均勻地分布在另外 9 個數據集中,涵蓋非常廣泛的主題。數據集擁有者掌握賭博、車輛登記、就業資訊、退休基金和保險等資訊。研究人員相信名為「tw_db」的數據集包含台灣相關詳情。
Cybernews 研究團隊認為這個數據集經過精心收集和維護,用於建立幾乎任何中國公民的全面行為、經濟和社會檔案。團隊觀察到:「這次洩漏中數據類型的龐大數量和多樣性表明,這很可能是一個集中聚合點,可能用於監視、分析或數據充實目的。」
受害者求助無門
黑客或國家級組織可以多種方式利用這些數據。擁有如此規模的數據集,從大規模釣魚、勒索和欺詐到國家資助的情報收集和虛假資訊宣傳活動,一切都有可能發生。
儘管團隊盡了最大努力,Cybernews 只能窺探數據庫一角,因為曝光的實例很快被移除。這也阻止團隊揭露數據庫擁有者的身份。然而,收集和維護這類數據庫需要時間和努力,通常與威脅行為者、政府或非常積極的研究人員有關。
團隊指出:「由於擁有者的匿名性和缺乏通知渠道,可能受這次洩漏影響的個人沒有直接追索權。」
中國的數據洩漏問題並不新鮮。Cybernews 之前報道過暴露 15 億筆微博、滴滴、上海共產黨等記錄的數據洩漏事件,或神秘行為者洩露超過 12 億筆中國用戶記錄。最近,攻擊者在網上洩露了 6200 萬筆 iPhone 用戶記錄。
然而,團隊無法識別任何超過 40 億筆記錄的數據洩漏事件。這使得這次數據洩漏成為有史以來識別到的最大單一來源中國個人數據洩漏事件。企業和個人都需要提高警覺,加強數據保護措施,防範潛在的網絡攻擊和身份盜竊風險。
來源:Cyber News