黑客盜上海公安10億人資料 WSJ︰阿里雲高層被約見 有意問責 阿里急跌6%

阿里巴巴（9988）高層傳遭上海當局約談，事件牽涉上海公安在阿里雲的一個數據庫早前疑遭黑客入侵，報道指事件中或有多達十億中國國民的個人資料被盜竊及遭黑客在網上兜售。《華爾街日報》最新引述消息人士稱，上海當局已經約見阿里巴巴旗下「阿里雲」部門高級主管，有意問責，理由是相關雲服務保安措施落後及過時，事件令外界關注阿里會否再遭天價罰款。在不利消息之下，阿里巴巴美股（BABA）昨曾急瀉8%，今晨阿里港股（9988）亦一度大跌5.8%，低見102.4元。

Photo from BusinessFocus

七大中概科網股受阿里拖拖，今晨全部報跌，最多分別曾下瀉1.5%至5.8%不等。其中嗶哩嗶哩（9626）與阿里最大跌幅同為5.8%。散戶多擔心監管風暴又重新吹起，入市態度審慎。

今次事件的起因，是上月底有自稱「ChinaDan」的賣家在一個黑客論壇上以英文發帖，聲稱想出售一筆來自上海公安部門，涵蓋十億中國人個人資料的數據庫，其體積達23 TB，叫價為10個比特幣（約值20.5萬美元)。賣稱這個數據庫被托管在「阿里雲」上，但沒說明數據是如何取得的。但外媒根據他上傳的75萬筆資料抽樣查閱，發現內含大量中國國民的姓名、性別、電話、地址、出生地點、年齡、證件號碼等，有一些更附有工作或酒店入住的照片。

此外，資料亦包括了疑似是上海公安局的報警調度台的信息以及出警紀錄，見到一些字句如「報警處理不立案」、「請民警攜帶必要的防護裝備，並注意自身安全」等。有記者按有關聯絡方法致電機主，證實待售的資料庫內所記載的個人資料是正確的。

事件曝光後，阿里一直未有正面回應究竟是否有阿里雲上的公安資料庫遭入侵。不過《華爾街日報》昨引述消息人士跟進報道，上海當局已經約見阿里巴巴旗下阿里雲部門高管，跟進警方數據庫被竊密一事，遭被約談的高管包括不久前才剛加入阿里負責數字政府部公安業務線的阿里雲副總裁陳雪松。

Photo from BusinessFocus

報道引述網絡安全研究員稱，根據分析，警方數據庫確托管在阿里雲上。消息稱，黑客疑似入侵後，阿里已暫時切斷了洩密數據庫的所有訪問權限，阿里工程師並開始檢查相關代碼，但暫未找出洩密原因。

網絡安全公司LeakIX和SecurityDiscovery則表示，有關托管數據庫及訪問和管理該數據庫的網關所使用技術已過時數年且缺乏足夠的安全性能，管理該警方數據庫的網關在公共的互聯網上開放了超過一年，數據庫並缺少最新的安全證書，令人關注是否因此乘虛而入。

據悉，另外13個由阿里巴巴托管的數據庫使用了同樣的過時數據庫和網關版本，亦共享了相同的過期安全證書。據報道，部分網上雲數據庫保安不足，恍如「大門敞開」，其中兩個的數據量甚至遠大於上海警方疑遭竊的23TB，分別達到60TB及 92TB。

為了亡羊補牢即防止大型數據洩密事故再發生，據悉阿里雲已要求員工重新審查與重要客戶的數據庫架構和配置等合同細節，特別是政府部門和金融機構。此外，阿里高管及阿里雲部門在早前的7月1日曾召開視頻會議，以研究緊急應對方案。

Text by BusinessFocus Editorial

免責聲明：本網頁一切言論並不構成要約、招攬或邀請、誘使、任何不論種類或形式之申述或訂立任何建議及推薦，讀者務請運用個人獨立思考能力自行作出投資決定，如因相關言論招致損失，概與本公司無涉。投資涉及風險，證券價格可升可跌。