CDT編者按:該帳號認證簡介為「人物、熱點、互動、傳播,有內涵的信息安全新媒體。(上海安闔在創信息科技有限公司)」,原文已遭刪除。
經濟通通訊社15日報導,阿里巴巴或面臨10億中國人數據失竊問責調查。
據《華爾街日報》引述知情人士報導,阿里巴巴雲業務高管因警方數據大規模洩露事件被上海市當局約談,被約談的高管包括不久前剛剛加入阿里負責數字政府部公安業務線的阿里雲副總裁陳雪松。阿里巴巴高管和阿里雲部門在7月1日召開視頻會議,研究緊急應對方案。
阿里巴巴員工稱,事發後已暫時切斷了洩密資料庫的所有訪問權限,阿里工程師並開始檢查相關代碼。上述員工表示,洩露原因尚待查明。阿里雲已要求員工重新審查與重要客戶的資料庫架構和配置等合同細節,特別是政府部門和金融機構。
報導指,根據對資料庫元數據的分析,警方資料庫託管在阿里雲上。而早前有報導指,有駭客聲稱攻破上海警方資料庫,竊取多達10億中國居民數據。
網絡安全公司Leak IX和Security Discovery稱,託管資料庫及訪問和管理該資料庫的網關所使用技術已過時數年且缺乏基本安全性能。上述兩家網安公司說,管理該警方資料庫的網關在公共網際網路上開放了一年多,且未設置密碼,也無法添加。資料庫還缺少最新的安全證書; 研究人員稱,阿里巴巴上次部署新證書是在2017年9月,證書一年後到期,但從未更新。
Leak IX和Security Discovery都表示,他們還發現了另外13個由阿里巴巴託管的資料庫使用了同樣的過時資料庫和網關版本,並且設置也一樣。而這13個資料庫也共享了相同的過期安全證書。
LeakIX的記錄顯示,幾乎所有這些資料庫都大門敞開了一年,其中兩個的數據量甚至遠大於上海警方遭竊的23TB:一個逾60TB,另一個更是超過92TB。
原文截圖:
