近期,中国面临着有史以来最严重的个人数据泄露事件,一份未设置密码的数据库暴露了超过40亿条用户信息。这些资料不仅包括银行数据、微信和支付宝等个人敏感信息,还涉及台湾民众的部分数据。专家指出,中国的个人信息泄露与买卖早已成为常态。
网络安全研究员鲍伯·迪亚琴科和Cybernews团队发现了这个高达631GB的数据库,内容涵盖了大量中国用户的个人资料,并随后发布了一份简要报告。这个资料库的内容经过精心整理,包含了来自多个来源的数据集,记录数量从50万条到8亿多条不等。
研究人员在2025年5月19日首次发现了这份资料库,但由于其拥有者在5月20日察觉异常并关闭了数据库,研究团队未能确认其身份或具体暴露时间。尽管如此,研究人员成功查看了16个不同类型的资料集。
其中,最大的资料集“wechatid_db”包含超过8.05亿条记录,可能与腾讯的微信应用有关;第二大资料集“address_db”则涵盖了超过7.8亿条带有地理识别码的居住资料;而第三个名为“bank”的资料集则包含超过6.3亿条金融信息,包括支付卡号、出生日期、姓名和电话号码。
专家警告,掌握这些资料的黑客可轻易推断出用户的居住地、消费习惯及财务状况。维护如此庞大的数据库通常需要威胁行为者、政府或专业研究人员的协作。
报告中提到的另一个重要数据集名为“三因素检查”,包含逾6.1亿条记录,可能涉及身份证号、电话号码和用户名。此外,名为“wechatinfo”的资料集则包含近5.77亿条微信用户ID,推测其中还可能涵盖用户的通讯记录。
更令人担忧的是,一个名为“zfbkt_db”的数据集包含3亿条与支付宝相关的财务数据,研究人员警告,这些信息可能被用于未经授权的付款、账户接管或身份盗窃。尽管该数据集相对较小,但对受害者来说,可能造成灾难性后果。
此外,研究团队还在其他9个数据集中发现了超过3.53亿条记录,涵盖了赌博、车辆登记、就业、退休金和保险等信息。值得注意的是,一个名为“tw_db”的数据集与台湾相关,但具体内容未详述。
研究团队强调,此次泄露的数据量庞大且类型多样,可能被用于监视、分析或数据聚合,甚至被国家或黑客用于网络钓鱼、勒索、诈骗等不法行为。由于数据拥有者匿名且缺乏通知渠道,受影响者寻求帮助的可能性极小。
一位旅居日本的IT工程师表示,他并不感到意外,因为与中共相关的机构或个人长期以来一直在进行信息买卖。他回忆起20年前在中国工作时,公司的数千名员工个人信息被银行擅自用于办理信用卡,许多人直到收到消费通知才意识到。
尽管此次事件可能成为中国历史上最大规模的个人数据泄露事件,但事件发生超过20天后,中共当局对此仍保持沉默,并删除了一些有关的警示文章。专家分析,中共惯用封锁消息和删除相关内容的手法,可能会采取拘捕行动以控制舆论。
报告最后指出,此次泄露的规模超越了2025年2月的事件,后者涉及15亿条记录,数据来源包括微博、中国银行、滴滴出行等。此外,2024年4月也发生了一起涉及12亿条记录的泄露事件,内容同样与中国人的日常生活息息相关。
在网络安全日益严峻的背景下,这起大规模数据泄露事件无疑将引发更多关注,个人信息安全面临严峻挑战。