CDT 档案卡
标题:据报阿里云业务高管遭上海当局约谈,涉警方数据大规模泄露事件
作者:安在
投稿人:电报匿名读者
来源:微信公众号“安在”
发表日期:2022.7.15
主题归类:数据泄露
CDS收藏:真理馆
版权说明:该作品版权归原作者所有。中国数字时代仅对原作进行存档,以对抗中国的网络审查。详细版权说明

CDT编者按:该账号认证简介为“人物、热点、互动、传播,有内涵的信息安全新媒体。(上海安阖在创信息科技有限公司)”,原文已遭删除。

经济通通讯社15日报道,阿里巴巴或面临10亿中国人数据失窃问责调查。

据《华尔街日报》引述知情人士报道,阿里巴巴云业务高管因警方数据大规模泄露事件被上海市当局约谈,被约谈的高管包括不久前刚刚加入阿里负责数字政府部公安业务线的阿里云副总裁陈雪松。阿里巴巴高管和阿里云部门在7月1日召开视频会议,研究紧急应对方案。

阿里巴巴员工称,事发后已暂时切断了泄密数据库的所有访问权限,阿里工程师并开始检查相关代码。上述员工表示,泄露原因尚待查明。阿里云已要求员工重新审查与重要客户的数据库架构和配置等合同细节,特别是政府部门和金融机构。

报道指,根据对数据库元数据的分析,警方数据库托管在阿里云上。而早前有报道指,有骇客声称攻破上海警方数据库,窃取多达10亿中国居民数据。

网络安全公司Leak IX和Security Discovery称,托管数据库及访问和管理该数据库的网关所使用技术已过时数年且缺乏基本安全性能。上述两家网安公司说,管理该警方数据库的网关在公共互联网上开放了一年多,且未设置密码,也无法添加。数据库还缺少最新的安全证书; 研究人员称,阿里巴巴上次部署新证书是在2017年9月,证书一年后到期,但从未更新。

Leak IX和Security Discovery都表示,他们还发现了另外13个由阿里巴巴托管的数据库使用了同样的过时数据库和网关版本,并且设置也一样。而这13个数据库也共享了相同的过期安全证书。

LeakIX的记录显示,几乎所有这些数据库都大门敞开了一年,其中两个的数据量甚至远大于上海警方遭窃的23TB:一个逾60TB,另一个更是超过92TB。

原文截图:

img
img