中國最大規模個資外洩，微信和支付寶等 40 億筆紀錄曝光

網路安全研究團隊發現中國史上最大規模個資外洩，40 億筆金融資料、微信和支付寶詳細數據等敏感個資遭曝光。這容量達 631GB 的巨型資料庫完全沒有密碼保護，影響中國數億用戶，令人擔憂的是受影響用戶幾乎無法保護自己。

資料庫含 16 個敏感資料集

SecurityDiscovery.com 擁有人兼網路安全研究員 Bob Dyachenko 與 Cybernews 團隊共同發現這個數十億筆曝光紀錄。資料庫由許多小資料庫組成，每個含 50 萬至 8 億多筆不同來源紀錄。

最大資料庫名為「wechatid_db」，有超過 8.05 億筆個資，極可能來自百度旗下程式微信。第二大資料庫「address_db」有超過 7.8 億筆含地理標識的住址。第三大資料庫就名為「bank」，含超過 6.3 億筆金融紀錄，有金融卡號碼、出生日期、姓名和電話號碼。

技術熟練攻擊者只需有這三個資料庫，便能找出其他資料，特定用戶居住地點及消費習慣、債務和儲蓄紀錄。

另一個中文命名的主要資料庫為「三要素檢查」，含超過 6.1 億筆資料，可能含身分證號碼、電話號碼和用戶名。「wechatinfo」資料庫含近 5.77 億筆資料，因微信用戶 ID 存在另一個資料庫，wechatinfo 極可能含原始資料、通訊紀錄或甚至通話紀錄。

支付寶資料大規模外洩

另 3 億筆資料存在「zfbkt_db」資料庫，含支付寶卡和令牌資訊。攻擊者可能嘗試未經授權付款、接管帳戶和盜取用戶身分。加上另一個含 2 千萬筆支付寶相關金融資料的較小資料庫，對個資外洩的用戶可能造成災難性後果。

超過 3.53 億筆資料不均勻分布九個資料庫，涵蓋範圍非常廣泛。資料庫所有者掌握賭博、車輛登記、就業資訊、退休基金和保險等資訊。研究員相信名為「tw_db」資料庫應是台灣人個資。

Cybernews 團隊認為這資料庫為精心收集維護，建立幾乎所有中國公民行為、經濟和社會檔案。團隊觀察：「這次洩漏資料類型的龐大和多樣性表明，這很可能是集中資料庫，可能用於監視、分析或數據充實。」

受害者求助無門

駭客或國家級組織可用多種方式使用這些數據。全國等級資料庫從大規模釣魚、勒索和欺詐到國家資助的情報收集和虛假資訊宣傳活動，都有可能發生。

儘管團隊盡了最大努力，Cybernews 只能看到資料庫一角，因曝光後資料庫很快移除。故團隊無法找到資料庫擁有者身分。但收集和維護這等級資料庫需要大量時間努力，通常與威脅行為者、政府或非常積極的研究員有關。

團隊指出：「由於擁有者匿名性和缺乏通知管道，可能受這次洩漏影響的個人也沒有直接追索權。」

中國個資洩漏問題並不新鮮。Cybernews 報導過 15 億筆微博、滴滴、上海共產黨等個資洩漏，或神祕行為者洩露超過 12 億筆中國用戶個資。最近攻擊者洩露 6,200 萬筆 iPhone 用戶個資。

但團隊無法辨識超過 40 億筆個資洩漏事件，這使這次個資洩漏成為有史最大單一來源中國個資洩漏事件。企業和個人都需要提高警覺，加強資料保護，防範潛在網路攻擊和身分盜竊風險。

• China faces huge data leak with 4B records exposed

（本文由 Unwire Pro 授權轉載；首圖來源：shutterstock）