兩岸

    中國個資外洩40億條再創新高 台灣也受害

    wp_news2By 尚無留言1 Min Read

    中國個資外洩40億條再創新高 台灣也受害

    圖為一家數據庫的示意圖。近期,中國可能發生史上規模最大的個資外泄,泄露逾40億條關於中國用戶的資料,內容涉及用戶的銀行數據、微信及支付寶信息等個人敏感資料。(MARTIN BUREAU/AFP)

    【2025年06月12日訊】(記者吳瑞昌綜合報導)近期,中國可能發生史上規模最大的個資外泄,一個未設密碼的數據庫泄露逾40億條關於中國用戶的資料,涉及用戶的銀行數據、微信及支付寶信息等個人敏感資料,甚至包含台灣民眾個資。專家認為,中國的資料泄露和買賣早已是常態。
    網路安全研究員、SecurityDiscovery.com所有者鮑伯·迪亞琴科(Bob Dyachenko)與著名網絡與科技安全研究團隊Cyber news發現一個沒有密碼、內容高達631GB的資料庫遭到外泄,包含40億條有關中國人的個人資料,並發布一份簡易報告。
    該報告指出,外泄資料庫經過精心收集和維護,含多個來源的數據集,記錄數量從逾50萬到8億多條不等。主要記錄中國用戶的銀行數據、微信(WeChat)、支付寶(Alipay)等敏感的個人信息,以及部分台灣民眾資料。
    研究人員於2025年5月19日瞥見了資料庫部分內容,但資料庫擁有者疑似察覺異常存取於5月20日關閉資料庫。因此,研究團隊無法確認資料庫擁有者身分、暴露時間,或是否有未經授權存取的情況。
    不過,該團隊當時設法檢視16個資料集,這些資料集基本依照不同資料類型進行命名。
    最大的資料集「wechatid_db」包含超過8.05億條記錄,資料內容可能與中國騰訊旗下的手機通訊應用程式微信有關;第二大資料集「address_db」擁有超過7.8億條記錄,涵蓋帶有地理識別碼的居住資料;第三大資料集簡稱「bank」,擁有超過6.3億條金融資料,包括支付卡號、出生日期、姓名和電話號碼。
    研究人員認為,掌握這三大資料集的不法分子,可迅速推斷某些用戶的居住地,以及他們的消費習慣、債務(借貸)及存款狀況。另外,收集和維護如此龐大的資料庫,所需要時間和精力通常涉及威脅行為者、政府或專業研究人員的合作。
    中國用戶財務與生活資料外泄
    報告中提到,另一個主要集合以簡體中文命名,大致譯為「三因素檢查」(three-factor checks),其內容包含逾 6.1億條記錄,可能涉及中國人的身分證號(ID)、電話號碼和使用者名稱。
    另一個名為「wechatinfo」的資料集包含近5.77億條記錄,內容主要是微信用戶的ID儲存。研究人員推測,此資料集內含蓋用戶的中繼資料(元數據)或通訊記錄,甚至用戶之間的對話內容。
    此外,一個名為「zfbkt_db」的資料集包含3億條記錄,涉及支付寶卡、令牌(token)資訊,以及2,000萬條與支付寶相關的財務數據。研究人員警告,「攻擊者可能利用這些資料進行未授權的付款、帳戶接管或身分盜竊。雖然這是一個較小的資料集,但對資料外泄的受害者可能是一場災難。」
    研究團隊還發現,另有超過3.53億條記錄分布在其它9個資料集,涵蓋用戶的賭博、車輛登記、就業資訊、退休金和保險等資訊。此外,還有一個名為「tw_db」的資料集包含與台灣相關的資料,但報告並未詳述具體內容。
    該研究團隊認為,「此次泄露的數據量龐大且類型多樣,很可能被用於監視、分析或豐富數據的集中聚合點。這些資料可能被威脅者或國家濫用,進行網路釣魚、勒索、詐騙,甚至用於國家支持的情報收集或虛假宣傳等不法行為。
    報告中強調,如果要想收集和維護這麼大規模的資料庫,通常只有駭客、政府或研究人員才建立,且由於資料的擁有者是匿名與缺乏通知渠道,因此本次受到泄露事件影響的人可能難以尋求幫助。
    旅居日本的IT相關工程師呈功(化名)對大記元表示,「看到這個消息並不意外,因為與中共相關的機構或個人一直在做信息的買賣。中國人手機頻繁收到詐騙短信和電話,就是因為個人信息被賣出的結果。這種買賣個人信息的行為早已形成一個龐大的產業。」
    呈功接著說,「20年前,我在中國一家公司工作,親身經歷公司數千名員工的個人信息且包括我自己的,都被中國銀行擅自用來辦理信用卡。甚至有員工的信用卡已被開通和消費,但他們本人毫不知情,直到收到消費通知才發現此事。」
    中國個資外泄事件層出不窮
    儘管此次事件可能成為迄今為止,單一來源最大規模的中國個資外泄事件,但事發超過20天,中共當局仍對此噤聲並刪除一些來自微信公眾號及論壇上的示警文章,僅極少數文章倖存。
    呈功對此表示,「目前中共慣用手法就是封鎖消息,刪除微信、百度和論壇上的相關內容。若中共認為情節嚴重或涉及政治需要,就可能採取拘捕行動。另外,這類事情的出現,可能是是意外泄露,或可能是中共故意用來轉移公眾注意力的話題。」
    報告最後指出,此次泄露事件超越了2025年2月的涉及15億條記錄,資料來自微博、各中國銀行、中國叫車平台滴滴(DiDi)與上海共產黨等,內容包括中國人的姓名、電話、電子郵件地址、使用者名稱、醫療保健數據、財務、交通及教育的相關記錄。
    除此之外,2024年4月底,疑似神祕的攻擊者泄露了超過12億條記錄,內容一樣跟中國人日常生活有關。
    2022年6月,黑客在黑客專用的資料買賣交易市場Breach Forums平台上,以用戶名ChinaDan宣稱攻破上海公安(SHGA)的雲存儲服務器,竊取高達23.88TB(1TB=1,024GB)的龐大數據,並以10比特幣的價格(約108萬美元)進行出售。
    黑客ChinaDan聲稱,泄露的資料庫包含10億中國人的姓名、地址、出生地、身分證號碼和手機號碼,以及幾十億疫情數據。
    (記者張鐘元對此文有貢獻)
    責任編輯:林妍#

    Post Views: 845
    Share.

    Related Posts

    Add A Comment

    Leave A Reply