10亿个资遭骇事件 美媒:阿里巴巴高层被约谈

6月30日有骇客在网上宣称握有上海公安系统数据库内,近10亿中国公民的个资,和数10亿笔警方纪录,开价10枚比特币(约新台币600万元)出售。媒体根据骇客公布的个资样本向部分当事人求证,证实资讯为真。这恐怕是中国已知最大规模的骇客攻击事件。

华尔街日报(The Wall Street Journal)14日报导,遭骇资料库受托管于中国科技巨头阿里巴巴的云端平台。而这个数据库有1年多时间未设置密码,导致其中资讯易于遭窃取。

报导引述知情人士说,阿里巴巴云端部门「阿里云」副总裁陈雪松已被上海有关部门约见。阿里巴巴的有关高层1日也就此事开会商讨紧急应对措施。

知情员工说,数据外泄事件发生后,公司已暂时关闭被盗数据库所有的访问权限,并检查相关代码。目前尚未查明数据外泄的原因。

报导引述网路安全公司LeakIX 和Security Discovery表示,他们还发现有13个阿里巴巴托管的数据库,也使用同样过时的技术。

华尔街日报引述知情员工和阿里云客户说,阿里云已要求员工检查和主要客户合作的数据库架构等细节,尤其是和政府、金融机构合作的私有云端。

报导表示,陈雪松曾是政府支持的公共安全与资讯技术工程师。

公开资料显示,陈雪松曾在中国电子科技集团公司第15研究所任职,担任公共安全资讯化事业本部主任,参与过北京奥运安保指挥系统、武警总体规划和海外国家资讯化建设等国家级计划。曾在人工智慧公司「旷视」任职的他,近期转职到阿里云。

华尔街日报无法联系到陈雪松,阿里巴巴和上海市政府也暂未回应。

中国近年日益重视网路资讯安全,陆续订定「网络安全法」、「数据安全法」和「个人信息保护法」。

工业和信息化部(工信部)去年12月则表示,由于阿里云未能即时通报一起严重的资安漏洞,暂停和后者合作6个月。天津去年也要求当地国企在9月前将原先储存在阿里云、腾讯云的资料,改存放到官方搭建的「国资云」平台。(编辑:陈沛冰)1110715