涉警方數據大規模洩露10億人資料 阿里雲業務高管遭上海當局約談

撰文:梁子傑
出版:更新:

《華爾街日報》報道,阿里雲業務高管遭上海當局約談,涉警方數據大規模洩露事件,多達10億中國居民數據懷疑外洩。

美國媒體《華爾街日報》15日引述知情人士報道,阿里巴巴雲業務高管因警方數據大規模洩露事件被上海市當局約談,被約談的高管包括不久前剛剛加入阿里負責數字公共安全業務的阿里雲副總裁陳雪松。阿里巴巴高管和阿里雲部門在7月1日召開網絡會議,研究緊急應對方案。

報道指,根據對數據庫元數據的分析,警方數據庫託管在阿里雲上。而早前有報道指,有駭客聲稱攻破上海警方數據庫,竊取多達10億中國居民數據,這些數據於6月下旬在網上被以大約20萬美元(約157萬港幣)價格叫賣。

2018年11月5日在上海國家會展中心舉行的中國國際進口博覽會虹橋國際經濟貿易論壇期間,微軟創始人比爾蓋茨(左)與阿里巴巴董事長馬雲會談。

數據庫未設密碼,缺少最新安全證書

報道提到,網絡安全公司Leak IX和Security Discovery稱,托管數據庫及訪問和管理該數據庫的網關所使用技術已過時數年且缺乏基本安全性能。上述兩家網安公司說,管理該警方數據庫的網關在公共互聯網上開放了一年多,且未設置密碼,也無法添加。數據庫還缺少最新的安全證書;研究人員稱,阿里巴巴上次部署新證書是在2017年9月,證書一年後到期,但從未更新。

Leak IX和Security Discovery表示,他們還發現了另外13個由阿里巴巴托管的數據庫使用了同樣的過時數據庫和網關版本,並且設置也一樣。而這13個數據庫也共享了相同的過期安全證書。Leak IX記錄顯示,幾乎所有這些數據庫都大門敞開了一年,其中兩個的數據量甚至遠大於上海警方遭竊的23TB:一個逾60TB,另一個更是超過92TB。

法國媒體《法新社》報道,75萬個洩露樣本中,聯繫了12人其中有4人確認了有關他們的信息的準確性,如他們的姓名和地址。根據賣家提供的樣本,被盜數據被認為包含絕大多數中國公民(包括未成年人)的姓名、身份證號和電話號碼,以及向上海警方報告的犯罪記錄和其它敏感信息。

2020年8月28日,上海可東方明珠電視塔和上海中心在內的城市天際線,船隻在黃浦江上行駛。(Getty Images)

只有3%大數據專業學生畢業入政府

2021年11月26日,中央黨校(國家行政學院)與社會科學文獻出版社共同發布《數字政府藍皮書:中國數字政府建設報告(2021)》提到,加速推進了數字政府建設進程。在公職人員隊伍中,信息化領域專業型複合型人才資源不足,既懂專業業務與行政管理,又懂信息技術與電子政務開發和管理的高質量人才供不應求。

暨南大學網絡空間安全學院教授耿光剛指出,據調查内地只有3%的大數據專業學生畢業後從事政務信息相關工作。領導幹部信息化能力仍需提升。

同時,由於缺乏引進信息化人才的渠道,缺少人才培訓和交流的機會,各地區各部門信息化數字化水平提升的需求難以滿足,目前對信息化數字化人才開展專門培養的高校和單位還比較少,缺乏適應數字政府發展要求的人才戰略和措施。

計世資訊稱,阿里雲是中國最大的公共雲服務提供商,但在私有雲市場,阿里雲仍遠落後於華為等競爭對手。阿里巴巴的雲計算業務在截至3月的財季實現盈利,成為雲服務行業第一家實現盈利的中國雲服務提供商。(Getty Images)

藍皮書:嚴控數字政府安全底線與安全防線

藍皮書指出,數字政府必須嚴控數字政府安全底線與安全防線。當前國際形勢複雜多變,網絡安全危機不容忽視,堅守安全底線至關重要。對於網絡安全,藍皮書建議建立常態化網絡安全信息通報機制,搭建統一的網絡安全監測分析平台,為海量數據提供預警機制,大幅提升國家治理效能,在網絡安全預警上不斷提升突破。

同時,加強數據安全管理建設,釐清數據生產者、管理者、使用者責任,建立數據常態化安全運營的管理體系,重視數據行為審計監測,確保數據安全使用、規範使用,探索和加強數據安全與個人隱私保護等方面的研究。徹底摸清信息化建設中的安全短板與漏洞,及時採取有效措施保障政務系統與政務信息資源安全,提升有關領導幹部的信息化專業技能,增強網絡風險防範意識,加強對第三方運營、維護參與單位及人員的管理與監督。

阿里雲創立於2009年,是全球領先的雲計算及人工智能科技公司,為200多個國家和地區的企業、開發者和政府機構提供服務。阿里雲致力於以在線公共服務的方式,提供安全、可靠的計算和數據處理能力,讓計算和人工智能成為普惠科技。2017年1月阿里雲成為奧運會全球指定雲服務商。