中国公安系统10亿个人数据泄露始末：为什么“安全的软件”不安全

一位名为“ChinaDan”的匿名互联网用户上周在黑客论坛Breach Forums上发帖，提出以10个比特币出售超过23TB的数据，相当于约20万美元。

用户在帖子上写道：

2022年，上海国家警察（SHGA）数据库被泄露。这个数据库包含大量关于中国十亿公民的数据和信息。该数据库包含有关10亿居民和数十亿案件记录的信息，包括：姓名、地址、出生地、身份证号码、手机号码、所有案件细节。这个数据库是阿里云托管的。

该用户提供了几个样本数据和截图用于给买家验证数据。

为了证明数据的真实性，《纽约时报》对黑客公布的75万份记录样本的部分内容进行了确认。

另一个样本集里是警方的案件记录，包括报案的犯罪记录以及电话号码和身份证等个人信息。

这些记录覆盖的时间范围从1997年至2019年。还有一个样本集里的信息似乎是未全部显示的个人手机号码和地址。

《纽约时报》的记者拨打了这些警方数据样本中一些人的电话，四名接听电话者证实了数据细节。

另外四人在确认了自己的姓名后挂断了电话。记者联系到的这些人都说，他们此前没听说数据泄露的事情。

警方记录中的一个案件数据包括一名男子的姓名，记录称他在2019年因遭遇诈骗报警，称花了大约3000元买烟，结果发现香烟发霉了。记者通过电话联系到这名人士证实了泄露数据中描述的细节。

随后，互联网上有人发现，一位ID叫做“帽子屋先生”的用户，在CSDN上发布了一篇开发学习笔记：【Spring Boot + Datahub】阿里云流数据处理平台 基于2.15版本的数据读写【上】。

该文发布时间为2020年8月26日。

这篇博文是一篇很简单的博文，但是同时也是不简单的博文，作者在写文章时，没有删除访问验证ID和KEY。

简单来说，accessId 和accessKey是访问“https://datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh”这个服务器的钥匙。有了这把钥匙，任何知道网址的人都可以访问这个服务器获得数据。

不过，细心的网友可能看出来了，这篇博文中的网址和黑客提到了泄露来源网址并不一致。

根据阿里云的OSS开发文档说明，可以知道，博文中的数据库网址“https://datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh”应该属于内网网址，而黑客提到的泄露来源网址“http://oss-cn-shanghai-shga-d01-a.ops.ga.sh/”属于外网网址。

这两个网址对应的服务器是同一个，名为“shanghai-shga-d01”。

一般来说，内外网网址是不同的，都是高度保密的内容。

有些场景下，外网网址可以不保密，但是访问的ID和KEY属于机密内容。

暂不清楚，如果黑客是通过此篇博文获得服务器的内网网址、ID和KEY，那么他是如何进入数据库的呢？（内网网址外部很难侵入）

目前该文章已经被作者删除，并且作者已经将他的博文删除，貌似注销账号从CSDN跑路了。

根据CNN的报道，数据泄露并非发生在今年的6月底，而是去年的四月份。

据LeakIX报道，最迟自2021年4月以来，包含大量中国公民信息的数据库已经通过一个不安全的后门链接可被公开访问 ——一个网址，只要你了解一点数据库技术，并知道该网址就可以不受限制的访问。

对数据库的访问，不需要密码。

卖方还声称，这个不安全的数据库是由中国电子商务巨头阿里巴巴的子公司阿里云托管的。

当CNN周一联系到他发表评论时，阿里巴巴表示“我们正在研究这个问题”。周三，阿里巴巴表示拒绝置评。

中国拥有14亿人口，这意味着数据泄露可能会影响70%以上的人口。

目前尚不清楚在14个月或更长时间内，有多少人访问或下载了该数据库。

两位与CNN交谈的西方网络安全专家之前就已经意识到该数据库的存在，这表明它可以很容易地被有相关经验的人发现。

网络安全研究员、暗网情报公司Shadowbyte的创始人Vinny Troia表示，他第一次发现该数据库是在“一月份左右”，当时他在网上搜索开放数据库。

Troia说：“我找到数据库的时候，网站是公开的，任何人都可以访问，你所要做的就是注册一个帐户。自2021年4月以来，任何人都可以下载这些数据，”

Troia下载了该数据库的主要索引之一，该数据库似乎包含近9.7亿中国公民的信息。但他说，很难判断开放获取是否是数据库所有者的疏忽，或者是否是为少数人共享而留的捷径。

“要么他们忘记了它，要么他们故意让它保持开放状态，因为他们更容易访问，我不知道他们为什么会这样做。这很粗心大意。”

CSDN创始人蒋涛在推特上，对此事做出了评价。

23T很大可能是假的，所谓10亿条记录大概率是不同数据源拼的。比如样板数据中存在好几条adress后有"代收", "xx收"字样, 并且name中有"狗蛋".. 明显淘宝快递数据,

比起CSDN创始人的说法，他下面这条回复显得更接近事实的真相。

那名要价10个BTC的黑客，提供的样本数据文件中，有一个JSON文件名为“address merge with mobile data”，意思为“使用手机号码对地址进行合并”。

为什么公安部门要接入快递系统，使用身份证、电话号码比对用户信息？答案是公安部门其实掌握的公民身份证信息上的户籍地址，和公民的常住地址，很多时候不是同一个。

我国有3.76亿流动人口、4.93亿人户分离人口。所以拥有大量公民快递地址这种常住地址的快递公司的数据库，公安系统进入进去，进入数据比对，对于公安部门来说，是一个既简单又低成本的事情。

经过以上分析，我们大概可以得出下面的结论：

1、公安部门为方便获取全国流动人口常住地、手机号码等信息，接入了快递物流数据库获取信息；

2、上海某公安部门的这个数据库，就是接入快递系统后存在的内部数据库；

3、该数据库部署在阿里云；

4、2020年8月，一个网络ID为“帽子屋先生”的外包程序员写了一篇博文，不慎泄露了数据库内网访问网址、ID和KEY；

5、2021年4月份，LeakIX和其他安全专家发现一个不设访问限制的网址，可以随便访问包含9.7亿中国公民信息的数据库；

6、2022年6月30日，“ChinaDan”在黑客犯罪论坛兜售数据库；

7、几天后，有人发现了2020年8月份“帽子屋先生”的泄露ID和KEY的博文，随后该博主删号。

我曾经多次在直播中说过：“你的手机、电脑和网络设备不安全，这将导致你使用的安全的软件是无效的。”

让我们看看一条老泄露新闻。

据英国《金融时报》报道，拥有3.64亿条记录的数据库使找到IP地址的任何人都可以搜索到用户的个人身份。

每条记录都来自微信和QQ等应用程序，还包含个人识别中国公民身份证号码、照片、地址、GPS位置数据以及有关所用设备类型的信息。

更糟糕的是，根据Gevers的说法，主数据库还将数据发送回其他17个远程服务器。

“如果我们开始更深入的研究他们的对话，中国人不会喜欢这种行为”

对于Gevers来说，数据最终似乎被分发到城市或省份的警察局 ——其他17台服务器可以通过其数字代码识别。

为了清楚起见，他告诉The Verge，“没有证据表明执法部门正在用这些数据做一些积极的事情。但基础设施和精心规划的数据分发是存在的。

Gevers说：“有青少年的聊天。那些本应是私密的直接消息。我把一些信息扔进了谷歌翻译，并把它们分享到了Twitter上。

但我们止步于此——我认为，如果我们开始更深入的研究他们的对话，中国人不会喜欢这种行为。”

我本人的建议，普通人还是躺平吧，最多隔一段时间换手机号和常用密码，毕竟你那点隐私和秘密，早就被中国互联网巨头看光光了。