近期資安媒體Cybernews表示,近期發生一場堪稱是中國有史以來規模最大的資料外洩事件,根據調查,總計超過40億筆用戶資料遭曝光,其中包含財務紀錄、微信(WeChat)與支付寶(Alipay)資訊,以及其他極具敏感性的個資。整體資料庫容量高達631GB,且未設密碼保護,任何人都能自由存取。而其中,一個資料夾的存在,證實台灣民眾的個資也在其中。
根據《Cybernews》報導指出,這起事件是Cybernews與SecurityDiscovery.com創辦人迪亞琴科(Bob Dyachenko)聯合揭發,當中證實這些外洩資料並非隨機拼湊,而是經過系統化蒐集、整理與維護,極可能用於描繪中國大部分公民的行為模式、經濟活動與社會輪廓。
Cybernews則認為這是一個集中的資料彙整節點,有高度可能與監控、側寫或商業資料增值目的相關。
外洩資料庫由數個集合(collections)所組成,其中規模最大的名為「wechatid_db」,內含超過8億500萬筆微信相關紀錄。
另一個名為「address_db」的集合,則記錄了約7億8000萬筆住址與地理資訊。「bank」集合則包含6億3000萬筆財務資料,記載內容涵蓋支付卡號、出生日期、姓名與電話號碼。
此外,「wechatinfo」集合收錄了約5億7700萬筆資料,研判可能包含用戶的對話、通訊紀錄或元資料。研究人員指出,單就上述集合內容,熟練的駭客即可交叉比對,還原特定個人的行蹤、財務狀況與通訊內容。
值得注意的是,資料中還包括一項中文命名的集合,可粗略翻譯為「三要素驗證」,裡頭存有超過6億1000萬筆紀錄,推測包含身分證號碼、姓名與聯絡方式。另一個名為「zfbkt_db」的集合則記錄了超過3億筆支付寶的卡片與代幣資料,外加一個規模稍小但仍含2000萬筆財務資料的支付寶集合,形成潛在的高風險金融外洩。
Cybernews表示,他們得以查看的集合共有16個,內容還涵蓋與賭博、車輛登記、職業履歷、退休金與保險相關的資料。其中一個名為「tw_db」的集合,據信涉及台灣(Taiwan)使用者資訊。
雖然Cybernews試圖追蹤這批資料的來源與擁有者,但卻無法發現任何明確的標記或歸屬標頭。公開的資料實例也在發現後不久被下架,導致無法深入分析其架構或查明管理方。
Cybernews表示,因資料來源匿名,且沒有任何補救通知機制,受影響的使用者難以採取實際行動來維護個資安全。
報導中也提到,過去中國也曾發生多起資料外洩事件,包括先前揭露的15億筆微博(Weibo)、滴滴(DiDi)與上海共產黨(Shanghai Communist Party)相關紀錄,或是神秘人士洩漏的12億筆公民紀錄,以及包含6200萬名iPhone用戶資料的資安事故。但這次破紀錄的40億筆資料外洩,已成為迄今規模最大的中國單一來源個資洩漏事件。