一個規模空前、包含超過40億筆記錄的「超級數據庫」近日被發現暴露於公共網絡,當中涉及數以億計主要來自中國的用戶個人資料,被形容為有紀錄以來最大規模的單一中國個人數據洩漏事件。據網絡安全媒體《Cybernews》於上周五(6月6日)發布的報告指,一個高達631GB的龐大數據庫,在未設任何密碼保護的情況下被公開,任何人均可自由存取。
今次重大數據洩漏事件由網絡安全研究員Bob Dyachenko及《Cybernews》的研究團隊於今年5月19日發現。雖然該數據庫在被發現後翌日(5月20日),已被迅速下線,其擁有人身份成謎,但數據的規模和極度敏感的性質,已對數以億計的用戶構成嚴重且長遠的私隱威脅。
數據庫涵蓋金融社交敏感資料
《Cybernews》的研究團隊在報告中指出,該數據庫極可能是一個「中央數據聚合點」,其數據經過精心收集和維護,目的可能是「用於監視、剖析用戶或豐富數據」。研究人員在該數據庫被下線前,曾窺探到當中包含至少16個數據集,規模驚人。其中,最大的數據集名為「wechatid_db」,包含超過8.05億筆記錄,極有可能與騰訊旗下的通訊及支付應用程式微信(WeChat)有關。第二大數據集「address_db」,則含有超過7.8億筆主要是包含地理標識符的住宅數據。
另一個名為「bank」的數據集包含超過6.3億筆金融數據記錄,當中包括支付卡號碼、出生日期、姓名及電話號碼等極度敏感的個人資料。此外,另一個名為「zfbkt_db」的數據集則儲存了近3億筆與支付寶(Alipay)相關的卡及令牌(token)資訊。不法份子若獲取這些資料,可輕易將不同數據點關聯起來,全面掌握目標用戶的住址、消費習慣以至財務狀況,並可能利用支付寶相關資料嘗試進行未經授權的支付或賬戶盜用。
數據或非單一源頭 慎防關聯詐騙
香港資訊科技商會榮譽會長方保僑分析指,微信支付及支付寶等多數設有兩步驗證,黑客未必能單憑洩漏的資料直接登入用戶帳戶盜取金錢,但真正的風險在於利用這些資料進行其他形式的攻擊。他指出:「最大問題是黑客擁有用戶大量個人資料,可以去做其他詐騙,或一些密碼重設的動作。」
方保僑推斷這次洩漏的數據未必是直接從騰訊或螞蟻集團等單一平台流出,而更可能是黑客長年由不同渠道收集數據後,再整合成一個龐大的「超級數據庫」。不過,方保僑認為市民毋須過份恐慌,但必須提高警覺。他建議用戶應密切留意個人銀行及支付工具帳戶有否可疑交易,更重要的是切勿在不同平台重複使用相同的密碼。他解釋:「不法份子可利用已洩漏的密碼,嘗試登入保安程度較低的網站或服務,繼而發動進一步攻擊或詐騙。用戶應定期更改密碼,並使用強密碼。」
洩漏源頭成謎
洩漏的數據還涵蓋賭博、車輛登記、就業資訊、退休金及保險等多個範疇,甚至有一個名為「tw_db」的數據集,被懷疑包含與台灣相關的詳細資料。由於該數據庫在被發現後迅速被移除,《Cybernews》團隊無法確定其擁有者的確切身份。報告分析指,其背後擁有者可能是網絡犯罪份子、政府機構或動機極強的研究人員。
Source:Cybernews