上海公安数据库泄露事件:修订间差异
| 第1行: | 第1行: | ||
'''上海公安数据库泄露事件''' | '''上海公安数据库泄露事件'''是2022年6月30日阿里巴巴Elasticsearch服务器存储的上海公安数据库遭入侵,黑客在网络犯罪论坛公开出售的中国大陆居民信息和警情数据的一起大规模资料泄漏事件。阿里巴巴公司在发现数据泄露的第一时间召开内部会议,决定删库对抗追责。数个月后,上海网信办依照《网络安全法》给予阿里巴巴级别最低级别的行政及罚款处罚。'''然而上海公安数据库泄露对国家安全和居民生活造成的危害是前所未有的,只是此时还未露出端倪。'''Reddit论坛曾有人根据LAST_TIME时间戳推测,此数据库的泄露时间应在2021年1月23日之后。调查报告指出此数据库最早是于2020年底被澳大利亚方面入侵。值得一提的是,恶俗维基和境外媒体长期以“顾杨阳”攻击阿里巴巴高管及旗下蚂蚁金融,这降低了内部人员监守自盗的可能性,但阿里巴巴屡次造成重大危害、动荡而未受到责任追究也令人咋舌。 | ||
==阿里巴巴瞒报核弹级漏洞== | |||
早在2021年,阿里巴巴就因为向国内瞒报核弹级漏洞遭到工信部处罚。且处罚力度也十分轻微,未能造成任何警示效果。 | |||
{{引文|我们是之后再报给工信部的,所以工信部也不是说拐了弯才知道这件事儿~|阿里云公关}} | |||
{{引文|工信部这样的处罚其实只是想给一个警示,之后阿里云按流程好好办事其实就ok了|阿里云公关}} | |||
2021年12月,阿里云安全工程师发现影响全球数十亿设备的核弹级log4j2漏洞(能与此漏洞影响面相提并论的可能就“永恒之蓝”这种级别的漏洞),本应按照《网络产品安全漏洞管理规定》第七条要求,在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息,然而阿里云安全仅仅向美国阿帕奇软件基金会通报了相关信息。导致半个多月后,中国国家信息安全漏洞共享平台才获得相关信息,并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》。工信部网络安全管理局研究后,决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。业内人士指出,工信部这次针对是阿里,其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的,一是没有踢出成员单位,只是暂停6个月。 | |||
==上海智慧公安== | |||
===恶俗之最=== | |||
上海公安数据泄露创立了若干个之最,一是泄露普通公民数据最多,二是敏感重要数据最多,三是处罚力度最低,四是泄露跨度时间最长,五是从曝光到处罚时间最久。 | |||
自行对比: | |||
2024年7月,韩国个人信息保护委员会因阿里巴巴违反韩国《个人信息保护法》跨境转移用户个人信息,决定对其处以19.78亿韩元的罚款(折合约143万美元)。 | |||
2023年6月,浙江温州公安机关对温州某大药房销售数据处罚款110万元,对该大药房直接负责的主管人员处罚款10万元。 | |||
2023年4月,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒,导致OA系统和服务器内存储的大量敏感数据存在泄漏风险,该公司履行数据安全保护义务不到位。最终被处以警告、罚款50万元。 | |||
==最高法智慧实验室== | |||
同样疑似遭到境外黑客攻击的最高法智慧实验室也由阿里云负责部分基础设施建设。 | |||
==6.3亿银联数据== | |||
2023年4月,黑客在另一个论坛贩卖中国银联数据,声称从法国MongoDB数据库获取。不同于其上一次放出的高质量数据,这次的数据非常低质,被人发现是拼接生成,仅100万样品中就包含1%的120岁以上老人。 | |||
2025年4月5日 (六) 19:37的版本
上海公安数据库泄露事件是2022年6月30日阿里巴巴Elasticsearch服务器存储的上海公安数据库遭入侵,黑客在网络犯罪论坛公开出售的中国大陆居民信息和警情数据的一起大规模资料泄漏事件。阿里巴巴公司在发现数据泄露的第一时间召开内部会议,决定删库对抗追责。数个月后,上海网信办依照《网络安全法》给予阿里巴巴级别最低级别的行政及罚款处罚。然而上海公安数据库泄露对国家安全和居民生活造成的危害是前所未有的,只是此时还未露出端倪。Reddit论坛曾有人根据LAST_TIME时间戳推测,此数据库的泄露时间应在2021年1月23日之后。调查报告指出此数据库最早是于2020年底被澳大利亚方面入侵。值得一提的是,恶俗维基和境外媒体长期以“顾杨阳”攻击阿里巴巴高管及旗下蚂蚁金融,这降低了内部人员监守自盗的可能性,但阿里巴巴屡次造成重大危害、动荡而未受到责任追究也令人咋舌。
阿里巴巴瞒报核弹级漏洞
早在2021年,阿里巴巴就因为向国内瞒报核弹级漏洞遭到工信部处罚。且处罚力度也十分轻微,未能造成任何警示效果。
2021年12月,阿里云安全工程师发现影响全球数十亿设备的核弹级log4j2漏洞(能与此漏洞影响面相提并论的可能就“永恒之蓝”这种级别的漏洞),本应按照《网络产品安全漏洞管理规定》第七条要求,在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息,然而阿里云安全仅仅向美国阿帕奇软件基金会通报了相关信息。导致半个多月后,中国国家信息安全漏洞共享平台才获得相关信息,并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》。工信部网络安全管理局研究后,决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。业内人士指出,工信部这次针对是阿里,其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的,一是没有踢出成员单位,只是暂停6个月。
上海智慧公安
恶俗之最
上海公安数据泄露创立了若干个之最,一是泄露普通公民数据最多,二是敏感重要数据最多,三是处罚力度最低,四是泄露跨度时间最长,五是从曝光到处罚时间最久。
自行对比:
2024年7月,韩国个人信息保护委员会因阿里巴巴违反韩国《个人信息保护法》跨境转移用户个人信息,决定对其处以19.78亿韩元的罚款(折合约143万美元)。
2023年6月,浙江温州公安机关对温州某大药房销售数据处罚款110万元,对该大药房直接负责的主管人员处罚款10万元。
2023年4月,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒,导致OA系统和服务器内存储的大量敏感数据存在泄漏风险,该公司履行数据安全保护义务不到位。最终被处以警告、罚款50万元。
最高法智慧实验室
同样疑似遭到境外黑客攻击的最高法智慧实验室也由阿里云负责部分基础设施建设。
6.3亿银联数据
2023年4月,黑客在另一个论坛贩卖中国银联数据,声称从法国MongoDB数据库获取。不同于其上一次放出的高质量数据,这次的数据非常低质,被人发现是拼接生成,仅100万样品中就包含1%的120岁以上老人。