安防公司数据不设防 百万新疆居民信息外泄
RFA, 2019年2月19日
一位荷兰研究人员上周发现,深圳一家安防公司的数据库长期处于未受保护的状态。有迹象表明,超过250万名新疆穆斯林的敏感个人信息已经外泄。有分析人士指出,在当地政府大张旗鼓地搭建全面监控体系的背景下,这样的安全事故迟早会发生。
荷兰非营利组织GDI基金会研究员维克多•杰弗斯(Victor Gevers)上周三在推特上爆料说,深圳深网视界科技有限公司(SenseNets)的企业IP地址和几百万人的定位数据长期不受保护,任何人都可以进入他们的数据库下载这些信息。
他通过进一步分析发现,这个数据库存有250多万人的个人信息,包括身份证号码、性别、地址、生日、照片等信息。此外,数据库还在过去24小时内记录了近670万条坐标定位信息,包括警局、酒店、网吧等地。这些与数据库联通的跟踪器的地理位置显示,这些设备全部位于新疆,主要分布在乌鲁木齐、和田、喀什等穆斯林聚居地。
跟踪对象基本都是穆斯林
BBC引述杰弗斯提供的一份随机样本说,数千条样本中99%都是穆斯林姓名,比如买买提、马合木提等。
杰弗斯还对国外媒体表示,他所在的GDI基金会早在去年7月起就曾试图联系深网视界,但一直没有得到回复。直到上周爆料后的第二天,他才表示这个数据库已经被防火墙加密了,至少中国境外的IP地址已无法进入。
本台记者周一试图通过推特联系杰弗斯,但截至发稿前并未收到回复。深网视界此前对媒体表示,公司正就此事进行内部调查,而多家国内媒体已经删除了相关报道。
现居台湾的网络工程师周曙光指出,他注意到这家公司使用了MongoDB数据库管理系统,而这套系统此前就出现过因设置不当存在安全漏洞的问题。他表示,这起安全事故很可能与他们的技术疏漏有关。
“我以前听说,这个数据库有些默认设置会造成这样的问题。显然这家公司在还没有找到真正的高手来执行的情况下,过于仓促地启动了这个项目。在招标过程中,他们并没有挑选能力最强的人来做这个标案,而是让关系最好、给回扣最多的公司帮他们做。”
据他分析,数据库中的定位信息应该是通过追踪用户手机实现的。随着通讯技术的革新,如今通过手机的蜂窝网络和GPS信号,技术人员已经可以做到对被监控者进行精确到分钟的实时监控。但另一方面,他并不认为新疆各地铺天盖地的摄像头对此起到了太大作用,因为摄像头不光需要进行面部识别,还要实时更新,计算量相当庞大,目前还难以被大规模应用。
杰弗斯在推特上说,日志文件显示,这个数据库已经被下载并备份到一位黑客的加密服务器上了,他还留下了勒索字条,要求公司缴纳0.6比特币的赎金。
事件暴露产业盲区
深网视界官网显示,这家公司成立于2015年,汇集了算法研究人才和安防领域技术专家,注重将AI(人工智能)技术与安防业务相结合。他们的服务对象包括各地公安局、银行、医院等机构。
周曙光说,这一事件印证了新疆穆斯林已经成为北京当局维稳工作的首要实验品,但这还不是最可怕的。
“(新疆穆斯林)被监控意味着他们已经失去自由,应该没有比这更大的困扰了,最大的困扰是他们的基本人权没有得到保障。然而更大的危机在于,中国专制政权对维吾尔人、哈萨克人实施的手段将会扩展到汉人身上。”
随着政府对社会管控的需求越来越高,中国安防产业正在急速膨胀。产业专家此前发布的《中国安防行业“十三五”(2016-2020年)发展规划》指出,到2020年,安防企业总收入将达到8000亿元左右,年增速达10%。而在2010年,安防行业的市场规模仅为2250亿元。
在安防产业的迅猛发展之上,如何保障数据安全就成为了上至政府决策者、下至企业的头等大事。
华盛顿智库“2049计划研究所”( Project 2049 Institute)新疆问题研究员钟东锐(Drew Jones)表示,深网视界的技术漏洞反映了有关部门对个人隐私的漠视。
“这个庞大的数据库完全对外开放,任何有管理员权限的用户都可以随意浏览,这体现了中共对于这些数据的保密工作有多么不在乎。”
记者注意到,深网视界还曾与广东省公安厅合作,对参与2016年第二轮乌坎事件的村民进行人脸识别,协助警方处置和取证。