上个月底,《科技日报》出了一篇文章,标题叫做“用大数据+人工智能‘算出’党员思想状况”,可见中共控制人类的技术大有进步。在此之前,以防疫为由,将各种各样的“码”运用的极至,人们如活在一个大牢笼中。
大数据对一个专制政权而言,是稳固其统治的重要工具,拥有庞大的人口数据库,可以审查老百姓的个人资料,甚至可以掌握、控制每个人的思想、行为。不过,它也不是维持社会稳定的万能法器,一旦外泄,轻则被黑客敲诈靳索,重则成敌对势为攻击的软肋,反而危及统治。
国际社交平台Telegram7月3日曝出,上海公安系统数据库大量资料可能泄露。此次公开被泄露的敏感信息高达23.88TB(容量单位),涉及10亿名居民信息包括姓名、性別、年龄、出生地的地址、身份证照片、手机号码等,以及数十亿条警情资讯,有报案时间、报案人姓名、电话、报案人描述的案件具体事件内容等。
信息发布者表示,想要取得全部资料,须支付十个比特币(约二十万美元)。不少网民认为,如此庞大的数据,二十万美元的开价过低。
知情人认为有关资料大概率是从阿里云泄露的,当时上海市公安局的存储信息的供应商是阿里云。
一个“黑客技术”网站称,从售卖者文内所说的信息来看,本次涉及的主机为:oss-cn-shanghai-shga-d01-a.ops.ga.sh。该地址属于公安局域网,与互联网做了物理隔离,由阿里云提供私有云服务。
截止本周一,上海官方尚未就此次事件公开回应,中国各社交媒体出现的相关议论均被屏蔽。
此次泄露事件是真是假?还需要进一步证实,不过,就算这次是假的,难保将不来一次真的,总之,有大数据存在,泄露的可能性就永远存在。
附录:
对上海严重数据泄露事件的意见、看法和建议
牟承晋(2022 年 7 月 4 日)
6 月 30 日晚,上海市公安局发生严重数据泄露事件。据报道,泄露数据量 23.88TB;暗网售价 10BTC(比特币,20 万美元),折合人民币 134.02 万元;数据内容涉及 10 亿中国公民(包括部分犯罪嫌疑人)的姓名、住址、出生地、身份证号码、手机号码、犯罪记录、案件详情,以及报警出警记录等。
消息当晚即传出,不断被删帖,没有引起关注。直至 7 月 3日傍晚广泛传开、到处刷屏,舆论沸腾。应读者要求,我发表几点意见和看法,请大家共同思考、商榷:
一是事件发生是有预谋的。
7 月 1 日是香港回归 25 周年、中国共产党建党 101 周年,6月 30 日晚出事,就是想制造和扩大政治影响,干扰重要的政治活动,挑起社会舆论混乱。数据泄露定向直奔公安数据库,直奔经过整理归类的有用在用数据,显然是有备而来。
二是必有内鬼,可能还是团伙。
即便是能够进入公安局数据库的人,一个人操作的难度很大。
通常在不低于 30M 传输率的情况下,USB 2.0 拷贝 1T 的数据约需 4 个小时,23.88T 数据泄露拷贝,至少需要连续不间断地进行 96 小时(4 天 4 夜)。6 月 30 日发现数据泄露之时,不是最初发生之时,也未见得是立即终止之时。
三是基础设施存在重大漏洞。
本次涉及的主机为:oss-cn-shanghai-shga-d01-a.ops.ga.sh,地址属于公安局域网(内网),与(公众)互联网(
Internet)之间物理隔离,由阿里云提供私有云服务。
特朗普大选失利的“太阳风事件”中,美国政府多个物理隔离专网被渗透、侵入。实践证明,只要是依赖于、依附于、依存于互联网的 DNS 解析系统、TCP/IP 协议和协议族供应链的指挥和控制系统,无论物理隔离、逻辑隔离都“隔离”不了 DNS 解析、TCP/IP 协议族的指挥与控制,终究还是受制于人。这就是“基础不牢、地动山摇”。
阿里云存在重大的旋转门问题。所有私有云都有旋转门问题,公有云也难以避免。滥发 CDN 牌照,CDN 市场、“
.CN”国家顶级域名严重失控,是最大的危害根源。
党政机关、央企国企、金融单位、知名网站服务器普遍托管代管在境外,造成我国的重要敏感数据、个人隐私信息常年裸奔在境外(主要是美国、台湾及其反华反共联盟),甚至同美国的CIA、FBI、NSA 以及光明会等在同一服务器集群,每天实时发生数据泄露,问题比上海的数据泄露要大得多、严重得多。
四是主管部门长期严重渎职失职酿成恶果。
公安自己就是主管部门之一,这次事件所暴露的自身管理治理不严、渎职失职问题不言而喻。
2017 年,我国数据泄露就排名世界各国之首,当年泄露数据达 38.22 亿条,其中包括百度 20 亿条用户电话号码、姓名、地址;网易 12.22 亿条邮件地址和用户密码,被在网络售出;上海春雨 2.68 亿条邮件地址和电话号码;腾讯 1.3 亿条邮件地址和用户密码,被在网络售出。我在“察网”公开发表文章揭露网易数据泄露事件,被网易“公关”,国家互联网主管部门强迫删帖,“察网”被迫关闭,我个人受到人身安全的威胁。
这几年,我们向中央领导和有关部门一再实名提供实证举报重庆电网、交通银行数据泄露,外交部服务器被托管境外,12306铁路 8 个系统服务器全部被中华电信和美国控制,等等严重的网络信息不安全问题,都不了了之、没有结果。究竟是官僚主义、形式主义、教条主义作祟?还是内外勾结的利益集团和内奸买办搞鬼?或兼而有之?
我再次公开呼吁和建议,借助上海“6·30”数据泄露事件,举一反三,果断治理,矫枉过正:
1、举国动员,彻底查清各单位服务器托管代管境外的情况,彻底查清危害国家数据信息安全的“卧底”中介、“旋转门”和专线专网渠道,坚决打击、果断接管;
2、举国动员,彻底查处数以百万计“.CN”国家顶级域名监管失控、被海外操控的情况,果断清理、坚决打击、杜绝隐患;
3、严惩数据泄漏犯罪分子,从重从严从快打击,该抓的抓、该判的判、该杀的杀,决不放纵;
4、旗帜鲜明地抵制和反对盲目崇拜、迷信“互联网权威”;旗帜鲜明地抵制和反对形式主义、教条主义、空谈误国;旗帜鲜明地抵制和反对继续盲目地“规模部署 IPv6”;
不拘一格降人才,将国家宝贵的人力物力财力,迅速转移到维护中华民族主权、安全、发展利益的网络信息空间、数据保护专网和基础数字底座方面来,转移到建立军民融合网络信息空间领域的应急系统方面来。
(牟承晋,中国移动通信联合会国际战略研究中心主任,昆仑策研究院高级研究员,某国情发展战略安全研究中心副主任、信息安全智库高级研究员,浙江省北斗未来网际网络空间研究院首席研究员。2022 年 7 月 4 日)