史上最严重 中国40亿笔个资外泄疑有“台湾数据库”

黑客示意图。（图片来源：Adobe stock）

中国近日惊传史上最严重资安事件，高达40亿笔个人资料泄露，内容涵盖微信、支付宝等敏感资讯，甚至出现了疑似“台湾数据库”，引发国际的高度关注。网安团队警告，这些数据恐怕成为黑客与间谍组织觊觎目标，受害者却求助无门。

根据Cybernews报道，研究团队发现，一个高达631GB的数据库完全没有设置密码，泄漏多达40亿笔个资纪录。这个数据库包含了众多数据，涵盖来自于不同来源的记录，数量分别为50万笔至8亿多笔不等。

Cybernews研究团队认为，这份资料集经过精心收集及维护，旨在建立几乎全部中国公民的所有行为、经济及社会档案，表明这极有可能是一个集中聚合点，可能用在监视、分析或数据丰富化等目的。

今次外泄的数据库包括了16个资料集，其中最大资料集名为“wechatid_db”，内有超过8.05亿笔纪录，极有可能是来自微信；第二大资料集则为“address_db”，内有超过7.8亿笔纪录，包含了带有地理识别码的居住资料；第三大资料集则为“bank”，里面有超过6.3亿笔金融资料纪录，包含了信用卡号、生日、姓名及电话号码。

然而，只要掌握这3个资料集就能够让熟练的攻击者将不同数据进一步拼凑，并找出某些用户的居住地，以及他们的消费习惯、债务与储蓄。

同时之间，还有一个名为“wechatinfo”的资料集包含了近5.77亿笔纪录，是将微信用户ID储存在单独的资料集内，因此“wechatinfo”极有可能包含了通讯日志，甚至用户对话。

另一个名为“zfbkt_db”的资料集中，储存了3亿笔资料，其中包含了支付宝卡及token资讯。攻击者则可能试图启用未经授权的帐户，进而窃取用户身分，再加上此外泄的资料集，其中包含了跟支付宝相关的2000万笔财务资料，这对资料外泄的用户而言，意味着灾难。

另有超过3.53亿笔资料不均匀的分布在其他9个资料集内，涵盖的主题相当广泛，包含了赌博、车辆登记、就业资讯、退休金及保险等资讯。

Cybernews研究团队还发现其中，有一个名为“tw_db”的资料集。研究人员认为，这资料集内包含了跟台湾相关的资讯。

报道表示，尽管尽最大努力，团队仍然无法将数据归属于任何能够识别的组织，数据中并没有任何归属或者所有权的资讯，而数据库在发现后不久，就被禁止向公众开放。因为数据所有者匿名，以及缺乏通知的管道，因为这次个资泄漏而受到影响的人，恐怕无法直接寻求帮助。

研究团队还指出，要收集及维护如此庞大规模的数据库，通常只有黑客、政府或是研究人员才能做到。

实际上，这并不是中国数据库首次大规模外泄。2022年，中共的上海公安局就疑似发生了资料泄露，当时10亿笔居民资讯及几十亿笔疫情数据遭到外泄。如今又出现一波更大的外泄事件，至于中共也依旧没有对此做出回应。

另外，中共于6月5日突然公开宣布，悬赏通缉台湾资通电军指挥部20位核心成员，并指控他们对中国发动大规模网络攻击，但因每人悬赏金额仅1万元人民币（约新台币4万元），在台湾资安圈及国际之间引发讨论与讪笑。

台湾资安专家直言，中共提供1万元人民币的悬赏“实在太低”，甚至是不及台湾资安公司基层人员的月薪，令人质疑中共公布此事的成效及用意。

另位专家指出，这项金额没有办法吸引任何人提供有效情报，倒更像是一种姿态。

由于中共报告中只列出钓鱼邮件等初阶黑客手法，缺乏包含恶意程式样本、攻击工具特征及具体攻击路径等国际认可的技术佐证细节，真实性遭质疑。

一位不具名的台湾资安人士表示，名单上有部分的军方人员早就已经离职，且台湾白帽黑客行事低调，不易锁定，导致这份名单的真实性大打折扣。

台湾政府过去针对中共类似指控都予以否认，并反控对方不断对台湾进行网络渗透及认知作战。陆委会副主委兼发言人梁文杰6日呼吁，如果台湾民众配合中共提供资料的话，恐怕将违反《国安法》，因此切勿为了1万元人民币而随便配合。