涉史上最大數據竊案 阿里巴巴被約談(圖)


涉史上最大數據庫竊案,阿裡巴巴被約談。圖為在西班牙巴塞羅那舉行的2019年GSMA世界移動大會上阿里雲的展位。(Getty Images/David Ramos)

【看中國2022年7月16日訊】因涉及近10億中國公民的警方數據庫遭竊事件,阿里雲(Alibaba Cloud)副總裁陳雪松等阿里巴巴高官已被上海有關部門約談。

阿里雲是中國最大的公共雲服務提供商。6月下旬,上海警方的近10億人數據以約20萬美元在網上出售。阿里巴巴隨後取消了14個資料庫的公眾訪問許可權。這一史上最大數據失竊案突顯北京通過全國監控系統收集數據,以及在保護數據安全遇到的挑戰。

《華爾街日報》報導,研究人員和公司員工都認定,被竊資料庫由阿里巴巴的雲平臺管理。陳雪松領導雲部門的數字公共安全業務。

知情人士稱,有員工透露,工程師也開始檢查相關代碼,不過未查明泄露原因。

兩家網路安全公司告訴《華爾街日報》,阿里巴巴雲端使用的技術過時多年,而且缺乏基本的安全功能,在該公司託管的其他十幾個資料庫中也有類似情況。

黑客提供的75萬個條目樣本包含多類敏感信息,令專家震驚,包括10億中國公民(包括未成年人)的姓名、身份證號和電話號。一些數據看起來源自快遞公司,以及向上海警方報案的事件摘要。

阿里雲繼續要求員工檢查與主要客戶合同中的資料庫架構和配置等細節,尤其是政府和金融機構等擁有專用私有雲資源的客戶。

去年11月,中國國家行政學院的一份報告稱,中國缺乏數字系統管理專業人才以及與技術供應商的協調。

在阿里巴巴託管的14個數據庫都有安全漏洞

網路安全公司LeakIX和SecurityDiscovery的研究人員告訴《華爾街日報》,阿里巴巴提供的用於存儲數據的資料庫以及用於訪問和管理資料庫的訪問界面不但過時好幾年,而且不包括密碼等任何安全功能。

他們說,資料庫雖然被保存在一個安全的私人伺服器上,但其訪問界面被設置在網際網路上,這樣裡面的信息能沒有限制地被傳出。

該資料庫還缺乏被視為業界標準做法的安全證書,阿里巴巴最後一次部署新安全證書是在2017年9月,一年後過期之後再沒更新。

LeakIX首席技術官Gregory Boddin表示,至少在過去四年,阿里巴巴沒對資料庫進行過任何維護,也使其易受攻擊。

LeakIX和SecurityDiscovery還發現,在阿里巴巴託管的另外13個資料庫也有相似的安全漏洞。13個資料庫過去一年多以來處於開放狀態,其中2個包含的數據比這次上海警方失竊的23太位元組多得多,分別超過60太位元組和92太位元組。

本週稍早,上海有關部門宣布對政府機構、國有企業、大型科技公司和其他公司的主要網站和平臺進行網路安全檢查,特別是擁有百萬以上用戶數據的網站和平臺。

本文留言

作者肖然相關文章


相關文章


近期讀者推薦