涉史上最大数据库窃案,阿里巴巴被约谈。图为在西班牙巴塞罗那举行的2019年GSMA世界移动大会上阿里云的展位。(Getty Images/David Ramos)
【看中国2022年7月16日讯】因涉及近10亿中国公民的警方数据库遭窃事件,阿里云(Alibaba Cloud)副总裁陈雪松等阿里巴巴高官已被上海有关部门约谈。
阿里云是中国最大的公共云服务提供商。6月下旬,上海警方的近10亿人数据以约20万美元在网上出售。阿里巴巴随后取消了14个数据库的公众访问权限。这一史上最大数据失窃案突显北京通过全国监控系统收集数据,以及在保护数据安全遇到的挑战。
《华尔街日报》报导,研究人员和公司员工都认定,被窃数据库由阿里巴巴的云平台管理。陈雪松领导云部门的数字公共安全业务。
知情人士称,有员工透露,工程师也开始检查相关代码,不过未查明泄露原因。
两家网络安全公司告诉《华尔街日报》,阿里巴巴云端使用的技术过时多年,而且缺乏基本的安全功能,在该公司讬管的其他十几个数据库中也有类似情况。
黑客提供的75万个条目样本包含多类敏感信息,令专家震惊,包括10亿中国公民(包括未成年人)的姓名、身份证号和电话号。一些数据看起来源自快递公司,以及向上海警方报案的事件摘要。
阿里云继续要求员工检查与主要客户合同中的数据库架构和配置等细节,尤其是政府和金融机构等拥有专用私有云资源的客户。
去年11月,中国国家行政学院的一份报告称,中国缺乏数字系统管理专业人才以及与技术供应商的协调。
在阿里巴巴讬管的14个数据库都有安全漏洞
网络安全公司LeakIX和SecurityDiscovery的研究人员告诉《华尔街日报》,阿里巴巴提供的用于存储数据的数据库以及用于访问和管理数据库的访问界面不但过时好几年,而且不包括密码等任何安全功能。
他们说,数据库虽然被保存在一个安全的私人服务器上,但其访问界面被设置在网际网络上,这样里面的信息能没有限制地被传出。
该数据库还缺乏被视为业界标准做法的安全证书,阿里巴巴最后一次部署新安全证书是在2017年9月,一年后过期之后再没更新。
LeakIX首席技术官Gregory Boddin表示,至少在过去四年,阿里巴巴没对数据库进行过任何维护,也使其易受攻击。
LeakIX和SecurityDiscovery还发现,在阿里巴巴讬管的另外13个数据库也有相似的安全漏洞。13个数据库过去一年多以来处于开放状态,其中2个包含的数据比这次上海警方失窃的23太字节多得多,分别超过60太字节和92太字节。
本周稍早,上海有关部门宣布对政府机构、国有企业、大型科技公司和其他公司的主要网站和平台进行网络安全检查,特别是拥有百万以上用户数据的网站和平台。