中国个资外泄40亿条再创新高 台湾也受害

中国个资外泄40亿条再创新高 台湾也受害
图为一家数据库的示意图。近期,中国可能发生史上规模最大的个资外泄,泄露逾40亿条关于中国用户的资料,内容涉及用户的银行数据、微信及支付宝信息等个人敏感资料。(MARTIN BUREAU/AFP)
人气 1170
标签: , , , , , , , , ,

【大纪元2025年06月12日讯】(大纪元记者吴瑞昌综合报导)近期,中国可能发生史上规模最大的个资外泄,一个未设密码的数据库泄露逾40亿条关于中国用户的资料,涉及用户的银行数据、微信及支付宝信息等个人敏感资料,甚至包含台湾民众个资。专家认为,中国的资料泄露和买卖早已是常态。

网路安全研究员、SecurityDiscovery.com所有者鲍伯·迪亚琴科(Bob Dyachenko)与著名网络与科技安全研究团队Cyber​​news发现一个没有密码、内容高达631GB的资料库遭到外泄,包含40亿条有关中国人的个人资料,并发布一份简易报告。

该报告指出,外泄资料库经过精心收集和维护,含多个来源的数据集,记录数量从逾50万到8亿多条不等。主要记录中国用户的银行数据、微信(WeChat)、支付宝(Alipay)等敏感的个人信息,以及部分台湾民众资料。

研究人员于2025年5月19日瞥见了资料库部分内容,但资料库拥有者疑似察觉异常存取于5月20日关闭资料库。因此,研究团队无法确认资料库拥有者身份、暴露时间,或是否有未经授权存取的情况。

不过,该团队当时设法检视16个资料集,这些资料集基本依照不同资料类型进行命名。

最大的资料集“wechatid_db”包含超过8.05亿条记录,资料内容可能与中国腾讯旗下的手机通讯应用程式微信有关;第二大资料集“address_db”拥有超过7.8亿条记录,涵盖带有地理识别码的居住资料;第三大资料集简称“bank”,拥有超过6.3亿条金融资料,包括支付卡号、出生日期、姓名和电话号码。

研究人员认为,掌握这三大资料集的不法分子,可迅速推断某些用户的居住地,以及他们的消费习惯、债务(借贷)及存款状况。另外,收集和维护如此庞大的资料库,所需要时间和精力通常涉及威胁行为者、政府或专业研究人员的合作。

中国用户财务与生活资料外泄

报告中提到,另一个主要集合以简体中文命名,大致译为“三因素检查”(three-factor checks),其内容包含逾 6.1亿条记录,可能涉及中国人的身份证号(ID)、电话号码和使用者名称。

另一个名为“wechatinfo”的资料集包含近5.77亿条记录,内容主要是微信用户的ID储存。研究人员推测,此资料集内含盖用户的中继资料(元数据)或通讯记录,甚至用户之间的对话内容。

此外,一个名为“zfbkt_db”的资料集包含3亿条记录,涉及支付宝卡、令牌(token)资讯,以及2,000万条与支付宝相关的财务数据。研究人员警告,“攻击者可能利用这些资料进行未授权的付款、账户接管或身份盗窃。虽然这是一个较小的资料集,但对资料外泄的受害者可能是一场灾难。”

研究团队还发现,另有超过3.53亿条记录分布在其它9个资料集,涵盖用户的赌博、车辆登记、就业资讯、退休金和保险等资讯。此外,还有一个名为“tw_db”的资料集包含与台湾相关的资料,但报告并未详述具体内容。

该研究团队认为,“此次泄露的数据量庞大且类型多样,很可能被用于监视、分析或丰富数据的集中聚合点。这些资料可能被威胁者或国家滥用,进行网路钓鱼、勒索、诈骗,甚至用于国家支持的情报收集或虚假宣传等不法行为。

报告中强调,如果要想收集和维护这么大规模的资料库,通常只有骇客、政府或研究人员才建立,且由于资料的拥有者是匿名与缺乏通知渠道,因此本次受到泄露事件影响的人可能难以寻求帮助。

旅居日本的IT相关工程师呈功(化名)对大记元表示,“看到这个消息并不意外,因为与中共相关的机构或个人一直在做信息的买卖。中国人手机频繁收到诈骗短信和电话,就是因为个人信息被卖出的结果。这种买卖个人信息的行为早已形成一个庞大的产业。”

呈功接着说,“20年前,我在中国一家公司工作,亲身经历公司数千名员工的个人信息且包括我自己的,都被中国银行擅自用来办理信用卡。甚至有员工的信用卡已被开通和消费,但他们本人毫不知情,直到收到消费通知才发现此事。”

中国个资外泄事件层出不穷

尽管此次事件可能成为迄今为止,单一来源最大规模的中国个资外泄事件,但事发超过20天,中共当局仍对此噤声并删除一些来自微信公众号及论坛上的示警文章,仅极少数文章幸存。

呈功对此表示,“目前中共惯用手法就是封锁消息,删除微信、百度和论坛上的相关内容。若中共认为情节严重或涉及政治需要,就可能采取拘捕行动。另外,这类事情的出现,可能是是意外泄露,或可能是中共故意用来转移公众注意力的话题。”

报告最后指出,此次泄露事件超越了2025年2月的涉及15亿条记录,资料来自微博、各中国银行、中国叫车平台滴滴(DiDi)与上海共产党等,内容包括中国人的姓名、电话、电子邮件地址、使用者名称、医疗保健数据、财务、交通及教育的相关记录。

除此之外,2024年4月底,疑似神秘的攻击者泄露了超过12亿条记录,内容一样跟中国人日常生活有关。

2022年6月,黑客在黑客专用的资料买卖交易市场Breach Forums平台上,以用户名ChinaDan宣称攻破上海公安(SHGA)的云存储服务器,窃取高达23.88TB(1TB=1,024GB)的庞大数据,并以10比特币的价格(约108万美元)进行出售。

黑客ChinaDan声称,泄露的资料库包含10亿中国人的姓名、地址、出生地、身份证号码和手机号码,以及几十亿疫情数据。

(大纪元记者张钟元对此文有贡献)

责任编辑:林妍#

 

相关新闻
Google撤销中华电信凭证 立委吁提高数位信任危机
Google撤销中华电信凭证 立委吁提高数位信任危机 人气 87
中共通缉台资通电军 台湾斥中共才是全球威胁
中共通缉台资通电军 台湾斥中共才是全球威胁 人气 1393
中国大规模个资外泄 40亿笔微信等资讯全曝露
中国大规模个资外泄 40亿笔微信等资讯全曝露 人气 3662
求职变陪酒:大陆夜场“送妹”产业链曝光
求职变陪酒:大陆夜场“送妹”产业链曝光 人气 136
如果您有新闻线索或资料给大纪元,请进入安全投稿爆料平台
评论