4 Matching Annotations
  1. Jul 2022
    1. 普京与习近平寻求沿南北轴线重塑国际格局

      普京与习近平寻求沿南北轴线重塑国际格局 在俄罗斯和中国与西方的关系日益恶化之际,两国正寻求通过以未来多年将有利于自身的办法重新构建全球权力分布。

      图片来源:JEFFREY SMITH

      Gerald F. Seib 2022年7月18日16:45 CST 更新

      最近,在一次对俄罗斯友好的金融会议上,俄罗斯领导人普京(Vladimir Putin)的态度是一贯的直接和自信。他不仅宣称俄罗斯经济挺过了西方的制裁,还表示,美国及其盟友忽略了世界对俄乌战争的反应所揭示的国际格局的重大变化。

      这位俄罗斯领导人说:“他们看来没有注意到,世界已经形成了新的强大的中心。”他表示:“我们谈论的是整个国际关系体系的革命性变化。这些变化是根本性和关键性的。”

      从很多方面来看,这一说法凸显了普京借入侵乌克兰之举在全球押下的一个核心赌注。他很清楚,由于残酷地入侵乌克兰,他可能已在传统东西方关系中失去很多阵地,而且可能是永久性的。但他押注的是,通过沿着一根南北轴线建立一个新的外交、经济和安全网络,他能够弥补这些损失。

      当然,他在这项冒险之举中的关键盟友是中国。多年来,中国一直沿着这条南北轴线努力,在亚洲、拉丁美洲和非洲大举开展贸易和投资,通常是在长期被视为外交地位落后的国家。这些国家不是大型经济或外交参与者,但其中许多国家位于战略贸易路线上,是快速增长的市场,其中的一些国家拥有向清洁能源技术转型所需的关键矿产。

      2019年11月,中国国家主席习近平和俄罗斯总统普京(图中)在巴西利亚会见金砖国家盟友。左起,南非领导人拉马福萨、印度领导莫迪和巴西领导人贾尔·博尔索纳罗。

      图片来源:KYODO NEWS VIA GETTY IMAGES

      总的来说,中俄两国的这些努力是在试图重新构建全球权力格局,使这种格局在未来几年对中俄有利、对西方不利。两国的计划能否成功远未可知,但这可能是乌克兰危机最重要的长期后果之一。

      到目前为止,普京有理由对他的计划感到满意。经济方面,他正在向印度出售大量石油,并研究向巴基斯坦出售天然气的可能性,以开始弥补丢失的西方市场。外交方面,代表全球人口近50%的35个国家对3月份谴责入侵乌克兰的联合国决议投了弃权票或反对票,而包括墨西哥、埃及、新加坡、印尼和卡塔尔在内的58个国家,在后来有关将俄罗斯逐出联合国人权理事会(Human Rights Council)的表决中投了弃权票。

      在俄罗斯发动乌克兰战争的第100天,普京接见了塞内加尔总统、非洲联盟现任主席萨勒(Macky Sall),后者请求俄罗斯提供更多粮食和化肥。最近,普京在“金砖国家”线上峰会受到了中国、印度、巴西和南非领导人的热情欢迎。金砖国家中有四个国家人口数量跻身全球前十,这些国家刻意回避了对俄罗斯入侵乌克兰做出任何谴责。就在不久前,俄罗斯外长拉夫罗夫(Sergei Lavrov)在20国集团工业国高级外交官会议上受到西方国家的冷遇,但他发现巴西、印度和阿根廷的对等官员愿意与他会面。

      美国前国防部长和中央情报局局长罗伯特·盖茨(Robert Gates)说:“我不认为世界格局出现了正式的重置,但我认为,让很多国家置身事外的努力看来是相当成功的。”

      对拜登政府及其北大西洋公约组织(North Atlantic Treaty Organization)盟友而言,他们更关注的是:面对俄罗斯入侵乌克兰,西方的团结在多大程度上得以维系。当然,这一努力已经取得了重大成功。北约已经恢复了活力,而欧盟似乎也具备了新的意义,并已邀请乌克兰加入。西方决心在经济上制裁莫斯科,并在军事上帮助乌克兰,这种决心是广泛而有力的。同样,美国拉拢日本、韩国和澳大利亚共同对抗俄罗斯和中国的努力也取得了成果。

      然而,中国和俄罗斯当前认为,这种对西方凝聚力的关注代表着旧式的冷战思维,根本不像以前那么重要了。这样的想法在一定程度上有些一厢情愿,但它也反映了新的现实。

      在某种程度上,俄罗斯和中国在这个领域大有可为,因为最近美国对这方面没什么兴趣,也给人一种不可靠的感觉。过去20年里,美国把精力和预算集中在反恐战争上,近年的重点则是特朗普政府与中国的贸易战,从而在某种程度上忽略了全球的很多地区。

      从前总统奥巴马(Barack Obama)到特朗普(Donald Trump),再到现总统拜登(Joe Biden),美国的外交政策经历了一系列急剧转变。比如,奥巴马政府决定与伊朗谈判达成核协议,接下来的特朗普政府却完全摒弃了伊核协议,之后的拜登政府则把阿富汗撤军行动搞得一团糟,这一桩桩一件件的都引发了外界对美国可依赖度的质疑。与此同时,美国民众和议员都表现出从全球收缩回本土的意愿。

      对于上述种种疑虑以及南北轴线上的许多国家与西方国家在优先事项上看法截然不同的事实,俄罗斯和中国正加以利用。世界银行前行长、曾任美国副国务卿的佐立克(Robert Zoellick)将拒绝加入反俄运动的非洲、中东、亚洲和拉丁美洲国家称为“弃权者”,佐立克称,这些国家有一系列的关切问题,可解释它们为何采取如此立场态度。

      佐立克表示:“这些国家的首要目标是想在重大威胁下具备韧性,这些威胁包括粮食和能源价格上涨危机、高债务和利率、新冠疫情和其他疾病,还有在它们眼中发达经济体遗留下来的碳转型成本。”佐立克称:“一般来说,这些国家希望避免新的冷战,特别是与中国的冷战。它们重视与中国的经济关系。它们对制裁行为很警惕,担心制裁举措也会用到它们头上。”

      在全球经济已经因乌克兰冲突而承受巨大压力的情况下,非洲和亚洲国家发现,它们对俄罗斯能源的需求非但没有减少,反而增加了。而且,在全球粮食短缺日益严重之际,他们非常需要粮食,既包括俄罗斯种植的粮食,也包括相当于俄罗斯从乌克兰偷走的粮食。

      “弃权者”想要作壁上观还有其他一些实际的原因。印度仍然严重依赖俄罗斯的军事物资供应,在与巴基斯坦和中国的关系持续紧张的情况下,印度认为俄罗斯的军事物资供应至关重要。美国最亲密的中东盟友以色列在批评侵乌一事时表现出了惊人的温和,因为它希望在以色列军队追击叙利亚的伊斯兰极端分子时,继续与驻扎在邻国叙利亚的俄罗斯军队合作。

      布拉莫斯巡航导弹由印俄合资企业制造,该合资企业以两国河流命名,于2021年1月在新德里举行的印度共和国日阅兵式上亮相。

      图片来源:HINDUSTAN TIMES VIA GETTY IMAGES

      其中一些国家还倾向于接受莫斯科和北京方面的主张,即美国呼吁遵守“基于规则的国际秩序”本质上是美国耍的花招。哈佛大学国家安全专家Graham Allison说,对他们而言,相关呼吁无非是为了遮掩美国的真实目的,即建立一个“由美国主导的国际秩序,由美国制定规则,其他国家俯首听命”。除此之外,其中一些国家的统治者对团结在世界民主国家一边并不特别感兴趣,因为他们更喜欢普京和习近平式的威权统治。

      乔治城大学(Georgetown University)外交学院(School of Foreign Service)教授Angela Stent称,实际上,早在最近入侵乌克兰之前,普京就已经开始构建这个新的国际网络。她着有一本关于普京外交战略的书。她指出,在俄罗斯部队于2014年从乌克兰夺走克里米亚并进入乌克兰东部地区后,普京更深地介入了叙利亚事务,并加入了欧佩克+——这是一个与石油输出国组织(Organization of the Petroleum Exporting Countries, 简称:欧佩克)的松散结盟,在2019年召开了首届俄罗斯-非洲峰会,并启动了一条通往中国的新天然气管道。Stent表示:“普京有条不紊地仔细思考了这些问题。”

      今年2月,他与习近平宣布“友谊无上限”,或许在一定程度上是让俄罗斯能利用中国为建立自己的南北关系所做的大量工作。Allison称,事实上,俄罗斯只是在“搭中国的便车”。

      过去二十年来,中国政府一直在非洲和拉丁美洲稳步开展工作,但基本上没有引起外界注意。中国最大的努力是2013年启动的“一带一路”倡议,在该倡议中,中国投资贸易基础设施,将亚洲、非洲、东欧和中东的71个国家连接起来。这些国家加起来占世界经济产出的三分之一以上,占世界人口的三分之二。

      埃塞俄比亚在亚的斯亚贝巴的轻轨系统于2015年开通,是撒哈拉以南非洲地区的第一条轻轨系统,由中国公司建造和资助。

      图片来源:CARL DE SOUZA/AFP/GETTY IMAGES

      除此之外,外交政策研究所(Foreign Policy Research Institute)的一项研究显示,现在有超过10,000家中资公司在非洲开展业务。2001年至2018年,中国向非洲国家提供贷款约1,260亿美元,直接投资约410亿美元。更多的投资带来了更大的地缘政治合作。外交政策研究所的研究发现,以联合国的投票来衡量,与中国的经济接触加强了中国和非洲国家之间的政治联盟关系。中国还在非洲的吉布提建立了该国有史以来第一个海外军事基地。

      同样地,自2000年以来,中国与拉美的贸易也出现了爆炸式增长,目前每年贸易额达到4,500亿美元,到2035年有望突破7,000亿美元。中国现在是南美第一大贸易伙伴,是仅次于美国的拉美第二大贸易伙伴。中国还成为拉美的一个主要债权国,事实上现在还是美洲开发银行(inter-American Development Bank)和加勒比开发银行(Caribbean Development Bank)具有投票权的成员。

      不过,在这条新轴线上,中国和俄罗斯要获得强大、持久的影响力仍非易事,美国及其盟友仍保留着明显的传统优势。

      许多情况下,接受北京和莫斯科主张的国家更多是出于眼前的自身利益,而不是对中国和俄罗斯有特别的好感。事实证明,这两个国家更擅长用利益换取合作,而非赢得真正的朋友。

      中国的对外援助和投资有时会附加苛刻条件,对此一些国家已经越来越反感,这些条件包括大量使用中国而不是当地的劳动力,以及在出现违约的情况下,中国会获得土地和资源的所有权。外交政策研究所这项研究指出,非洲人“担心中国可能会利用其日益壮大的经济实力,来获取可能在经济和政治上对非洲大陆不利的特许权”。

      非洲国家还在忍受全球粮食短缺之痛,俄罗斯阻断乌克兰对外粮食出口是罪魁祸首。尽管这些国家没有加入西方国家孤立普京的行动,但一些发展中国家和不结盟国家对普京在乌克兰开创的无情先例也是有顾虑的。这些国家本身就容易受到外部势力的军事入侵。

      俄罗斯和中国之间的紧张关系也由来已久,这可能限制他们长期合作的能力。Allison指出,相比与俄罗斯的关系,中国在与西方经济强国保持长期经济和贸易关系方面的利益要大得多。他说,对中国来说,其宏大战略的一个支柱是成为所有主要经济体——实际上相当于所有国家——的最大贸易伙伴和供应链中关键项目的最不可或缺的供应商。

      那么,美国该如何应对俄罗斯和中国在这条南北轴线上的努力?“我认为这些都是可以纠正的问题,但只能从长计议,”盖茨说。“根本没有短期的解决办法。”

      盖茨认为,自冷战结束以来,美国放任自己的“非军事力量工具”萎缩,现在则正为此付出代价。他说,美国在很多领域都没有进行足够必要的投资,比如,在向非洲和拉丁美洲提供经济援助以及在欠发达国家构建安全关系和贸易合作伙伴关系方面都做得不到位。

      关于美国政府和私营部门要如何合作、以在中国和俄罗斯正大举扶植的地区促进美国投资,盖茨呼吁拿出“创新想法”。他还补充说,好消息是,国会目前对于该领域的问题表现出了罕见的两党合作精神,希望就相应战略达成一致意见。“习近平和普京做了一件别人做不到的事情。他们把国会中的民主党人和共和党人团结到了一起。”

      佐立克建议美国做出更多努力,去了解“弃权者”的需求和不满,并与国际机构合作来应对这些问题。美国还可以另辟蹊径,在疫苗和其他卫生行动方面提供帮助,以此播撒善意,并重新建立起更良好的贸易关系。

      不仅如此,他还鼓励美国设法说服中国将自己与俄罗斯区别开来,让美国认可中美存在共同利益的领域。“总之,我们不能凭直觉把俄罗斯和中国当成上世纪50年代的那种融合体,”他说。“我们应该把中俄两国区分开,将来甚至可能再次形成三角外交的态势。”

      最近几周,拜登政府及其盟友展开了外交攻势,以对抗俄罗斯和中国的一些行动。美国最近在洛杉矶主办了与拉美国家首脑的美洲峰会,但墨西哥和三个中美洲国家的领导人决定不参会,这显示了美国在该地区面临的挑战。七国集团(Group of Seven)刚刚宣布计划向发展中国家基础设施项目投资数千亿美元,这显然是为了抗衡中国的相应行动。拜登还出访沙特,想说服沙特领导人提高石油产量,以抵消西方国家削减采购俄罗斯石油造成的影响。沙特领导人一直不愿批评俄罗斯入侵乌克兰。

      这表明,一场新的外交游戏已经开始;即使在乌克兰的敌对行动结束后,游戏仍会继续。“美国总统拜登称,这场战争之后,俄罗斯将成为国际社会的弃儿,”Sten表示。“俄罗斯不会成为弃儿。我们现在就看到了 。”

      (Gerald F. Seib以前是《Capital Journal》专栏作家和《华尔街日报》华盛顿执行编辑,目前是战略与国际问题研究中心的高级导师。)

    1. China Police Database Was Left Open Online for Over a Year, Enabling Leak

      WSJ:中国警方的数据库对外网开放访问了一年多,导致泄密

      今年早些时候发现安全漏洞的网络安全专家说,这可能是历史上最大的个人数据盗窃案之一,也是中国最大的已知网络安全漏洞,因为一个常见的漏洞使数据在互联网上被公开。

      据网络安全专家称,上海警方的记录包括近10亿中国公民的姓名、政府身份证号码、电话号码和事件报告,是安全存储的。但他们说,一个用于管理和访问数据的仪表板被设置在一个公共网站上,而且没有密码,这使得任何具有相对基本技术知识的人都可以随意进入,复制或窃取信息库。

      暗网情报公司Shadowbyte的创始人Vinny Troia说:"他们将这么多数据暴露在外,这太疯狂了。"

      网络安全研究公司SecurityDiscovery的老板鲍勃-迪亚琴科(Bob Diachenko)表示,该数据库从2021年4月到上个月中旬一直暴露在外面,当时其数据突然被清除,取而代之的是一张赎金字条,上海警方发现了这一点。

      根据Diachenko先生提供的截图,"你的数据是安全的",赎金字条上写道。"联系你的数据......恢复10btc",意思是数据将以10个比特币,大约20万美元的价格被归还。

      这个赎金数额与一位匿名用户上周四在一个在线网络犯罪论坛上开始要求的价格相吻合,以换取对一个数据库的访问权,该用户声称该数据库包含从上海国家警察数据库盗取的数十亿条中国公民的信息记录。

      这个周末开始在社交媒体上流传的帖子引起了网络安全专家的警觉,不仅是因为泄漏的规模,还因为政府数据库中的信息的敏感性。

      上海市政府和中国网信办(该国的互联网监管机构)没有对评论请求作出回应。

      网络安全专家拼凑出了数据库真实性的新证据,以及这么多私人信息如何落入网络犯罪分子手中的细节。

      他们说,仪表盘就像一扇通向数据库的大门,即使在所有数据丢失后也没有关闭,直到这个漏洞开始得到公众的广泛关注。特罗亚先生说,窃取数据的人很可能是正在兜售数据的同一个实体。

      他说:"很常见的是,如果赎金受害者不支付赎金,那么他们会试图在网上出售数据。"

      无法确定该数据库被公开访问是偶然还是故意的,也许是为了在少数人之间更容易分享数据。特罗亚先生和迪亚琴科先生说,这种漏洞很常见,但他们都表示,发现如此规模的不安全数据库令他们感到震惊。

      两人都说,他们也证实了匿名泄密者的说法,即它包括超过23兆字节的数据,涵盖多达10亿人。他们说,一个名为 "person_address_label_info_master "的文件包含了人们的姓名、生日、地址、政府身份证和身份证照片,长度接近9.7亿行,这表明它包括同样多的人的详细信息,假设没有重复的条目。

      该文件标记了有犯罪史的个人,包括有交通违规行为的人、被认为是逃犯的人以及被指控犯有强奸或杀人罪的人。它还包括一个 "应该被密切关注的人 "的标签,这是中国政府监控系统中经常使用的一种称呼,以表示被认为对社会秩序构成威胁的人。

      数据泄露突出了一些政策研究人员所描述的中国信息安全方法中的核心矛盾。

      —— 华尔街日报 (https://www.wsj.com/articles/china-police-database-was-left-open-online-for-over-a-year-enabling-leak-11657119903?mod=djemalertNEWS)

      China Police Database Was Left Open Online for Over a Year, Enabling Leak Cybersecurity experts say error allowed theft of records of nearly 1 billion people, leading to $200,000 ransom note By Karen HaoFollow in Hong Kong and Rachel LiangFollow in Singapore July 6, 2022 11:05 am ET PRINT TEXT What is likely one of history’s largest heists of personal data—and the largest known cybersecurity breach in China—occurred because of a common vulnerability that left the data open for the taking on the internet, say cybersecurity experts who discovered the security flaw earlier this year.

      The Shanghai police records—containing the names, government ID numbers, phone numbers and incident reports of nearly 1 billion Chinese citizens—were stored securely, according to the cybersecurity experts. But a dashboard for managing and accessing the data was set up on a public web address and left open without a password, which allowed anyone with relatively basic technical knowledge to waltz in and copy or steal the trove of information, they said.

      “That they would leave this much data exposed is insane,” said Vinny Troia, founder of dark web intelligence firm Shadowbyte, which scans the web for unsecured databases and found the Shanghai police database in January.

      Leaked Shanghai police records contained names, ID information and incident reports for nearly 1 billion Chinese citizens. PHOTO: ALEX PLAVEVSKI/SHUTTERSTOCK The database stayed exposed for more than a year, from April 2021 through the middle of last month, when its data was suddenly wiped clean and replaced with a ransom note for the Shanghai police to discover, according to Bob Diachenko, owner of the cybersecurity research firm SecurityDiscovery, which similarly found the database—and later the note—through its periodic web scans earlier this year.

      “your_data_is_safe,” the ransom note read, according to screenshots provided by Mr. Diachenko. “contact_for_your_data…recovery10btc,” meaning the data would be returned for 10 bitcoin, roughly $200,000.

      The ransom amount matches the price that an anonymous user began asking for last Thursday on an online cybercrime forum in exchange for access to a database the user claimed contained billions of records of Chinese citizens’ information stolen from a Shanghai national police database.

      The post, which began circulating on social media over the weekend, alarmed cybersecurity experts not just for the leak’s size but also because of the sensitivity of the information contained in the government database.

      The Shanghai government and the Cyberspace Administration of China, the country’s internet regulator, didn’t respond to requests for comment.

      Cybersecurity experts have pieced together new evidence of the database’s authenticity and details of how so much private information could have fallen in the hands of cybercriminals.

      The dashboard acted like an open door to the data vault, they say, which wasn’t closed—even after all the data went missing—until the vulnerability began gaining widespread public attention. Whoever stole the data is likely the same entity that is peddling it, according to Mr. Troia.

      “What’s pretty common is if the ransom victim doesn’t pay the ransom, then they’ll try to sell the data off online,” he said.

      It couldn’t be determined whether the database was made publicly accessible by accident or on purpose, perhaps to share the data more easily among a few people. Such vulnerabilities are common, Mr. Troia and Mr. Diachenko said, though both said they were shocked to find an unsecured database of this size.

      Both said they also corroborated the anonymous leaker’s claims that it includes over 23 terabytes of data covering as many as a billion individuals. One file named “person_address_label_info_master”—which contains people’s names, birthdays, addresses, government IDs and ID photos—runs close to 970 million rows long, they said, which suggests it includes details on just as many people, assuming no duplicate entries.

      That file marks individuals who have a criminal history, and includes people with traffic violations, those considered fugitives and those who have been accused of rape or homicide. It also includes a label for “people who should be closely monitored,” a designation often used in China’s government surveillance systems to denote people seen as posing a threat to social order.

      One leaked Shanghai police file includes records ranging from traffic violations to murder accusations. PHOTO: ALEX PLAVEVSKI/SHUTTERSTOCK The data leak highlights what some policy researchers have described as the central contradiction in China’s approach to information security.

      In recent years, Beijing has signaled that data security and privacy are a priority, passing a series of laws and regulations designed to restrict commercial collection of sensitive data, including personal information, and keep it within the country’s borders. At the same time, the government has itself continued to collect vast amounts of data through a nationwide digital surveillance apparatus to exert tighter control over Chinese society.

      That the information was leaked from a government agency—and now has an unknown number of copies circulating outside of the country’s borders—could undermine Beijing’s argument that such a system protects national security, some China tech-policy experts say

      “It’s unclear who holds who accountable,” Kendra Schaefer, the head of tech-policy research at Trivium China, a Beijing-based strategic advisory consulting firm, wrote on Twitter in response to the leak. She said it is typically the Ministry of Public Security, which oversees local police agencies such as the Shanghai police, that is responsible for cybercrime investigations.

      The Chinese government hasn’t commented on the data leak, and references to it on Chinese social media are quickly being scrubbed.

      Some Chinese-speaking users of Twitter, including the chief executive of cryptocurrency exchange Binance, speculated that the leak stemmed from a 2020 technical blog post published by a user on CSDN, a Chinese developer forum similar to Github, that appeared to inadvertently include the access credentials to a Shanghai police server.

      Mr. Troia and Mr. Diachenko said the database, based on its configuration, in fact didn’t need access credentials at all, making that theory unlikely. The fault was with the person who set up the dashboard, they said.

      Write to Karen Hao at karen.hao@wsj.com and Rachel Liang at rachel.liang@wsj.com

      Copyright ©2022 Dow Jones & Company, Inc. All Rights Reserved. 87990cbe856818d5eddac44c7b1cdeb8 Appeared in the July 7, 2022, print edition as 'Police Database in China Was Open Online for Over a Year.'

      中國警察數據庫在線開放一年多,導致洩密 網絡安全專家表示,錯誤導致近 10 億人的記錄被盜,導致 20 萬美元的贖金票據 經過 Karen Hao跟隨 在香港和 梁瑞秋跟隨 在新加坡 美國東部時間 2022 年 7 月 6 日上午 11:05 打印 文本 今年早些時候發現該安全漏洞的網絡安全專家表示,這可能是歷史上最大的個人數據盜竊案之一——也是中國已知最大的網絡安全漏洞——因為一個常見的漏洞導致數據可以在互聯網上被盜取.

      據網絡安全專家稱,上海警方的記錄——包含近 10 億中國公民的姓名、政府身份證號碼、電話號碼和事件報告——被安全存儲。但他們表示,用於管理和訪問數據的儀表板是在公共網址上設置的,並且在沒有密碼的情況下保持打開狀態,這使得任何具有相對基本技術知識的人都可以進入並複製或竊取大量信息。

      暗網情報公司 Shadowbyte 的創始人 Vinny Troia 說:“他們會讓這麼多數據暴露在外,這簡直是瘋了。”該公司在網絡上掃描不安全的數據庫,並在 1 月份找到了上海警方的數據庫。

      洩露的上海警方記錄包含近 10 億中國公民的姓名、身份證信息和事件報告。 照片: 亞歷克斯·普拉韋夫斯基/SHUTTERSTOCK 網絡安全研究機構的負責人鮑勃·迪亞琴科(Bob Diachenko)表示,從 2021 年 4 月到上個月中旬,該數據庫暴露了一年多,當時它的數據突然被清除乾淨,取而代之的是一張贖金單,供上海警方發現。公司 SecurityDiscovery,該公司今年早些時候通過定期網絡掃描同樣發現了數據庫,後來發現了筆記。

      根據迪亞琴科先​​生提供的屏幕截圖,勒索信上寫著“your_data_is_safe”。“contact_for_your_data...recovery10btc”,這意味著數據將返回 10 個比特幣,大約 200,000 美元。

      贖金金額與一名匿名用戶上週四開始在在線網絡犯罪論壇上索要的價格相匹配,以換取訪問該用戶聲稱包含從上海國家警察數據庫竊取的數十億中國公民信息記錄的數據庫。

      該帖子於週末開始在社交媒體上流傳,令網絡安全專家感到震驚,不僅因為洩密的規模,還因為政府數據庫中包含的信息的敏感性。

      上海市政府和中國互聯網監管機構中國國家互聯網信息辦公室沒有回應置評請求。

      網絡安全專家拼湊了數據庫真實性的新證據,以及如此多私人信息可能落入網絡犯罪分子手中的細節。

      他們說,儀表板就像一扇通往數據保險庫的大門,即使在所有數據都丟失之後,它也沒有關閉,直到該漏洞開始引起公眾的廣泛關注。根據 Troia 先生的說法,竊取數據的人很可能是兜售數據的同一實體。

      “很常見的是,如果贖金受害者不支付贖金,那麼他們會嘗試在網上出售數據,”他說。

      無法確定該數據庫是偶然還是故意公開訪問的,也許是為了更容易在少數人之間共享數據。此類漏洞很常見,Troia 先生和 Diachenko 先生說,儘管他們都表示他們對發現如此規模的不安全數據庫感到震驚。

      兩人都表示,他們還證實了匿名洩密者的說法,即其中包含超過 23 TB 的數據,涵蓋多達 10 億人。他們說,一個名為“person_address_label_info_master”的文件——其中包含人們的姓名、生日、地址、政府身份證和身份證照片——運行近 9.7 億行,這表明它包含了同樣多的人的詳細信息,假設沒有重複條目。

      該文件標記有犯罪記錄的個人,包括違反交通規則的人、被視為逃犯的人和被指控犯有強姦或殺人罪的人。它還包括一個“應該被密切監視的人”的標籤,這個名稱經常在中國政府監控系統中用於表示被視為對社會秩序構成威脅的人。

      一份洩露的上海警方檔案包括從交通違規到謀殺指控的記錄。 照片: 亞歷克斯·普拉韋夫斯基/SHUTTERSTOCK 數據洩露凸顯了一些政策研究人員所描述的中國信息安全方法的核心矛盾。

      近年來,北京已發出信號,將數據安全和隱私放在首位,通過了一系列旨在限製商業收集包括個人信息在內的敏感數據並將其保存在中國境內的法律法規。與此同時,政府自身也在繼續通過全國性的數字監控設備收集大量數據,以加強對中國社會的控制。

      一些中國技術政策專家說,這些信息是從一個政府機構洩露的——現在在中國境外流通的副本數量不詳——可能會削弱北京關於這種系統保護國家安全的論點

      “目前尚不清楚誰對誰負責,”總部位於北京的戰略諮詢公司 Trivium China 的技術政策研究負責人 Kendra Schaefer 在 Twitter 上回應洩密事件時寫道。她說,負責網絡犯罪調查的通常是公安部,該部負責監督上海警方等地方警察機構。

      中國政府尚未對數據洩露發表評論,中國社交媒體上對此事的提及也很快被刪除。

      包括加密貨幣交易所 Binance 首席執行官在內的一些 Twitter 中文用戶推測,洩漏源於 2020 年用戶在類似於 Github 的中國開發者論壇 CSDN 上發布的一篇技術博客文章,該文章似乎無意中包含了訪問權限上海警方服務器的憑據。

      Troia 先生和 Diachenko 先生說,根據其配置,該數據庫實際上根本不需要訪問憑證,因此這種理論不太可能。他們說,問題出在設置儀表板的人身上。

      寫信給Karen Hao karen.hao@wsj.com和Rachel Liang rachel.liang@wsj.com

      版權所有 ©2022 道瓊斯公司。保留所有權利。87990cbe856818d5eddac44c7b1cdeb8 出現在 2022 年 7 月 7 日的印刷版中,名稱為“中國警察數據庫在線開放一年多”。

  2. Apr 2021
  3. Apr 2017
    1. Portland Business Journal Provides access to Portland Business Journal and Book of Lists. Also includes other city business journals. PSU faculty/staff/students please click here for login information. Walk-in users please contact the Reference Desk. Wall Street Journal Offers full text articles in The Wall Street Journal (Eastern edition, 1984-present) and the online edition (2010-present ), excluding stock quotes and classified ads. Updated daily.

      PSU access to WSJ and PBJ