上海公安資料庫被黑客攻擊 10億公民資料及警方記錄被兜售

中國上海公安儲存雲端的資料庫疑被黑客攻擊，據傳有10億公民個資、報案紀錄外泄，恐為中國有史以來規模最大個資外泄事件之一。

「華爾街日報」報導，6月30日有黑客在一個網路犯罪論壇猖狂放話，要價10枚比特幣、約20萬美元出售上海公安系統數據庫，內包10億中國公民的戶籍等個資及數十億筆警方紀錄。黑客的貼文周末開始在社群媒體瘋傳。

資安專家表示，這起疑似黑客網攻令人震驚，不僅因其所謂規模，也攸關政府資料庫中包含的訊息敏感性。如若屬實，這將是有史以來規模最大的個資外泄事件之一，也是中國已知最大規模的黑客攻擊事件。

黑客發布的「樣品」據稱含75萬筆紀錄，內容涉及個人姓名、身分證號碼、電話號碼、生日和出生地，以及向警方報案的詳細摘要。案件包羅萬象，從寵物失竊的、網路欺騙到家暴不一而足，相關資料最早可溯及1995年，最近則為2019年。

儘管資料外泄範圍尚未獲得證實，華爾街日報記者依黑客樣本列出的電話號碼致電當事人，發現多筆紀錄屬實。有5個人確認資料正確，包括很難從警方外的任何管道所取得案件細節，還有4個人證實個人基本資料為真，例如姓名。

一名女子訝異外泄個資細節的準確性，還反問記者相關訊息是否源自於她2016年報失的iPhone。

根據黑客公布的紀錄，一名魏姓男子被騙加入投資計畫後損失3萬元人民幣，聽聞自己個資疑似外泄後，他嘆口氣說「我們都被看光光了」。

不過資安專家對黑客聲稱的全部內容抱持謹慎態度。

澳洲的網路安全顧問韓特認為，大多數黑客犯案動機都是出於求財，索要大筆金錢的行徑增加駭客兜售說法被誇大或偽造的可能性，像是聲稱握有14億中國人里10億人的個資。

此外，華爾街日報記者嘗試撥打的幾個手機號碼已無效或用。在中國，手機用戶隔幾年便換號碼的情況司空見慣。

上海警方、上海市委對外宣傳辦公室和中國網路監管機構並未答覆華爾街日報相關詢問。

黑客在論壇上聲稱，這次入侵針對的是阿里巴巴集團旗下的「阿里雲」計算公司，還說上海公安系統資料庫就儲存在阿里雲。

阿里巴巴表示已知曉此事，正進行相關調查。