阿里高管被当局约见,涉上海数据泄露
知情人士透露,阿里巴巴的云计算部门高管已被上海有关部门约见,涉及一起规模庞大的警方数据库泄露事件。这家中国科技巨头由此更加迫切需要对这宗史上最大数据盗窃案之一的发生原因进行内部调查。
阿里云是中国最大的公共云服务提供商,最近的数据泄露事件涉及近10亿中国公民。
知情人士透露,阿里巴巴集团控股有限公司(Alibaba Group Holding Ltd., BABA, 简称:阿里巴巴)的云计算部门高管已被上海有关部门约见,涉及一起规模庞大的警方数据库泄露事件。这家中国科技巨头由此更加迫切需要对这宗史上最大数据盗窃案之一的发生原因进行内部调查。
调查是围绕上海警方一批估计涉及近10亿中国公民的敏感数据,这些数据于6月下旬在网上被以大约20万美元价格叫卖。网络安全研究人员说,一个管理该数据库的访问界面在公共互联网上开放了一年多,未设置密码,因此很容易盗取和删除其内容。
根据对该数据库的扫描,研究人员认定,该数据库被托管在阿里巴巴的云平台。该公司员工也证实了这一点。
据知情人士,在一位匿名卖家在网络犯罪论坛上发布数据广告并提供数据样本后,阿里巴巴及其云计算部门的高管7月1日召开网络会议商讨紧急应对措施。
据知情人士,被上海有关部门约见的高管包括阿里云(Alibaba Cloud)副总裁陈雪松,他最近受聘领导该部门的数字公共安全业务。
记者无法联系到陈雪松置评。阿里巴巴和上海市政府暂未回应置评请求。
阿里巴巴创始人马云是较早倡导在警务和社会管理中使用数据的人士之一。
图片来源:MARLENE AWAAD/BLOOMBERG
一些知情员工说,自从发现数据泄露事件后,阿里巴巴的工程师已暂时关闭了对被盗数据库的所有访问,并着手检查相关代码。他们说,泄露原因尚未查明。
两家网络安全公司告诉《华尔街日报》(The Wall Street Journal),根据对数据库元数据的分析,被盗数据被储存在阿里巴巴的云端,该云所使用的技术已经过时数年,且缺乏基本的安全功能,他们发现在该公司托管的其他十多个数据库中也存在这一情况。
阿里巴巴未回应对这些公司调查结果置评的请求。
根据卖家提供的样本,被盗数据被认为包含绝大多数中国公民(包括未成年人)的姓名、身份证号和电话号码,以及向上海警方报告的犯罪记录和其它敏感信息。虽然数据库不安全问题在全球范围内并不少见,但网络安全研究人员表示,看到这么多此类级别的敏感信息被窃让他们感到震惊。
这一数据泄漏事件凸显了中国政府通过全国性数字监控系统收集的大量数据,以及政府在保护这些数据的安全性方面遇到的难题。
中国国家行政学院去年11月发表的一份报告警告称,缺乏能够管理数字系统的专业人才,以及缺乏与技术供应商的协调,对政府利用技术更有效管理社会的努力产生了不利影响。
对于被上海有关部门约见的陈雪松,据熟悉其背景的员工称,他曾是一位政府支持的公共安全和信息技术工程师。无法确定陈雪松与上海有关部门谈话的内容。
据知情员工和阿里云的一家客户称,随着调查的继续,阿里云要求员工检查与主要客户合同中的数据库架构和配置等细节,尤其是政府和金融机构等拥有专用私有云资源的客户。
对于网络安全研究人员上周发现的警方被盗数据库访问界面没有密码一事,阿里巴巴和上海警方均未置评。
网络安全公司LeakIX和SecurityDiscovery的研究人员称,这个访问界面没有密码,也没有办法添加密码。这两家网安公司通过扫描网络追踪不安全数据库。
这些研究人员称,阿里巴巴提供的用于存储数据的数据库以及用于访问和管理数据库的访问界面,所使用产品的版本已经过时几年。他们称,这些版本不包括任何安全功能,如密码保护,也没有安装一项附加功能。
缺少上述附加功能对这个数据库并不重要,因为数据库被保存在一个安全的私人服务器上,但该数据库的访问界面被设置在公共互联网上,这就像一扇通往数据库的大门,使里面的信息能不受约束地被导出。
该数据库还缺少一个最新的安全证书,即用于加密网络流量的唯一数字标识符,该证书已成为标准做法。据前述研究人员称,阿里巴巴最后一次部署新安全证书是在2017年9月,一年后过期,之后就再也没更新过。
LeakIX首席技术官Gregory Boddin表示,对过期证书的依赖并没有让这个数据库更容易遭到攻击,但表明维护工作被忽视了。他称,至少在过去四年里,这个数据库没有任何维护。
LeakIX和SecurityDiscovery均表示,它们发现阿里巴巴托管的另外13个数据库也使用了与前述数据库和访问界面相同的过时版本产品,并且这些数据库的设置与前述数据库完全相同,自身都保存在私人服务器上,而访问界面设在公共互联网上。Boddin表示,这13个数据库还共享同一个证书,该证书后来已过期,这有悖于最佳安全做法。
据LeakIX的记录,这些数据库处于开放状态的时间几乎都超过一年了。其中两个数据库包含的数据甚至比黑客据称从上海警方窃取的23太字节还要多:一个有超过60太字节,另一个有超过92太字节。
SecurityDiscovery的所有者Bob Diachenko说,即便是一天时间,也足以让规模如此之大的数据库遭恶意行为者抓取和收集。
Boddin和Diachenko说,7月初,在此次数据泄漏事件开始在社交媒体上被广泛关注后不久,阿里巴巴切断了公众对所有14个数据库的访问权限。
阿里巴巴创始人马云是较早倡导在警务和社会管理中使用数据的人士之一。2016年,他在给中国政法干警所做的一次讲座中表示,大数据分析将有助于公安机关识别小偷,并在恐怖袭击发生前进行预测。中国政法综治系统的150多万干警通过视频系统在各分会场聆听了这次讲座。
阿里云是中国最大的公共云服务提供商,但据计世资讯(CCW Research)称,在私有云市场,阿里云仍远落后于华为技术有限公司(Huawei Technologies Co.)等竞争对手。计世资讯是一家中国政府研究中心下属的智库。阿里巴巴的云计算业务在截至3月的财季实现盈利,由此成为云服务行业第一家实现盈利的中国云服务提供商。该行业的运营需要消耗大量资金。
阿里巴巴此前曾因其数据安全做法而面临审视。2021年12月,中国工业和信息化部将其与阿里巴巴云计算部门的网络安全合作暂停6个月,之前中国政府称该公司未及时向主管部门报告一个全球软件漏洞。
去年,在当地电信监管机构的压力下,该公司披露了2019年的一起事件,涉及一名员工向分销商泄露客户联系信息。
本周早些时候,上海市有关部门宣布对政府机构、国有企业、大型科技公司和其他实体的主要网站和平台进行网络安全检查,尤其是掌握100万以上用户个人数据的网站和平台。
网友评论