本文原創為「好奇心研究所」:http://www.qdaily.com/articles/61747.html
非營利荷蘭網路安全機構 GDI Foundation 安全研究人員維克多·葛弗斯(Victor Gevers)釋出 Twitter 稱,3.64 億條中國使用者的私密聊天記錄被洩露到了網際網路上,其中包括微信和 QQ 的私信內容、iSpeak 語音軟體的聊天記錄、阿里旺旺私信記錄、YY 私信記錄以及微信支付記錄等等。
一同被洩露的還有使用者名稱、身份證號、身份證照片、網路資訊、網咖名稱、地址、GPS 座標以及對口的派出所在內的資訊。更糟糕的是,主資料庫還將資料傳輸給了其他 18 個未經加密的 MongoDB 資料庫。只要搜尋其 IP 地址,任何人都可以隨意訪問該資料庫。
葛弗斯表示,由這 18 個數據庫的數字程式碼可以看出,這些資料似乎最終會被分發到各個城市或省份的警察局。
其中許多記錄都包含網咖地址,表明使用者可能是經常出入網咖的遊戲玩家。根據葛弗斯提供的截圖和他本人的陳述,此次洩露資訊的伺服器中的很多內容看上去就是“青少年的聊天記錄”。
你在網咖的活動確實正被記錄。國務院 2016 年修訂頒佈的《網際網路上網服務營業場所管理條例》第三章二十三條規定:網際網路上網服務營業場所經營單位應當對上網消費者的身份證等有效證件進行核對、登記,並記錄有關上網資訊。登記內容和記錄備份儲存時間不得少於 60 日 ,並在文化行政部門、公安機關依法查詢時予以提供。登記內容和記錄備份在儲存期內不得修改或者刪除。
TechCrunch 對葛弗斯公佈的內容進行了整理,發現這個資料庫是針對網咖的環境定製的。賦予“新蘋果網咖”的地區程式碼是 0001,另一個是 0010,同時兩個網咖都處在鹽城市的範圍內,TechCrunch 猜測這可能代表此資料庫劃定的物理範圍並沒有想象中那麼大。
接下來搜尋 OrgCode 的賦值 55080760X,可以得到山東恆邦網路技術有限公司的資訊。再查詢鹽城市相關部門的公開採購資訊,TechCrunch 發現 2017 年 9 月,山東恆邦以 96500 元的價格競得鹽城市公安局警用系統採購招標(專案編號 YCGACG2017-TP09)。
MongoDB 是目前流行的資料庫技術,由於 MongoDB 預設不啟用身份驗證 ,若安裝在本地則沒有大礙,一旦將資料庫置於可被外界訪問的狀態,運維忘記或者忽視安全工作就會導致洩密。此前 GDI Foundation 就指出過幾次 MongoDB 資料庫的問題。
維克多·葛弗斯上個月剛剛披露了深圳 AI 影片公司深網視界的關鍵資料庫漏洞 ,涉及 257 萬個人資訊與合計約 668 萬條記錄,包含身份證號碼、性別、國籍、地址、生日、照片、僱主等資訊,以及這些人過去 24 小時內經過的地點。那次洩露也是因為 MongoDB 資料庫未加安全驗證。
他所在的 GDI Foundation 曾參與過對多起資訊安全事故的調查,比如 2017 年的與美國國家安全域性(NSA)存在關聯的駭客組織“影子經紀人”洩密事件,以及同年的 8233 臺物聯網裝置登入憑證洩露事件等等。
根據葛弗斯的猜測,資訊之所以會洩露,似乎是因為有人錯設了防火牆配置,讓資料庫暴露無遺。
去年 1 月,吉利汽車董事長李書福稱“微信天天在看使用者的聊天記錄”,對此微信做出回應稱,“微信不留存任何使用者的聊天記錄,聊天內容只儲存在使用者的手機、電腦等終端裝置上,傳言純屬誤解。”
《微信隱私保護指引》也寫道,微信團隊會使用技術手段(如 SSL)保護使用者資訊在傳輸到微信伺服器期間不被第三方獲取,那麼理論上只有在網咖終端偽造證書,使用中間人攻擊的方法才可以獲得微信聊天的具體內容。總之微信的隱私安全一定是出了問題,並且在沒有通知使用者的前提下洩露了資訊。
3 月 3 日,葛弗斯在 Twitter 稱,自己不清楚資料庫的所有者是誰,所以將洩露情況通知給了中國電信主幹網。22 小時後,18 個伺服器關閉了 17 個,僅剩下最後一臺。
騰訊沒有對此做出任何回應,也沒有任何人宣佈為資料洩露事件負責。
喜歡這篇文章?去 App 商店搜 好奇心日報 ,每天看點不一樣的。