华尔街日报的 Karen Hao报道,阿里巴巴的高管被上海警方约谈。据悉,这次约谈与上周泄露的中国公民的大量信息有关,因为这个数据库被托管在阿里云的服务器上。网络安全专家发现,阿里云的数据库的安全证书和软件版本不仅早就过期,而且数据库的控制台还被安置在没有密码的公共网络上,使数据能够轻易被窃取。
据熟悉事件的人士透露,阿里巴巴云计算部门的高管已被上海当局约谈,此前一个庞大的警方数据库被盗。对于历史上最大的数据盗窃案之一如何发生的,阿里正在进行的内部调查变得更加紧迫。
调查围绕着上海警方的敏感数据失窃展开,近10亿中国公民的数据,6月下旬在网上以大约20万美元的价格出售。网络安全研究人员说,阿里一个管理数据库的控制台在公共互联网上开放了一年多,没有密码,因此很容易被偷窃和删除其中内容。
根据对数据库的扫描,研究人员得出结论,其被托管在阿里巴巴的云平台上。公司员工也证实了这种关系。
据知情人士透露,7月1日,一位匿名卖家在网络犯罪论坛上发布数据广告并提供数据样本,之后阿里巴巴及其云计算部门的高级管理人员就开始聚集在一起,以制定紧急应对措施。
据熟悉此事的人士称,被约谈与上海当局开会的高管,包括阿里云副总裁陈雪松,他最近被聘来领导这个部门的数字公共安全业务。
记者无法联系到陈雪松进行评论。阿里巴巴和上海市政府没有立即回应评论请求。
一些熟悉情况的员工说,自从发现盗窃事件后,阿里巴巴的工程师已经暂时关闭了对被盗数据库的所有访问,并开始检查相关代码。他们说,还没有确定入侵的原因。
两家网络安全公司告诉本报,根据对数据库元数据的分析,被盗数据被储存在阿里巴巴的云端,所使用的技术已经过时数年,并且缺乏基本的安全功能。他们在这家公司托管的其他十多个数据库中发现了类似的模式。
阿里巴巴没有回应对这两家公司的调查结果发表评论的请求。
根据卖家提供的样本,被盗数据被认为包含绝大多数中国公民(包括未成年人)的姓名、政府身份证号码和电话号码,以及在上海警方的报案记录和其他敏感信息。虽然数据库不安全在全球范围内很常见,但网络安全研究人员表示,看到如此大量的、这种级别的敏感信息被公开,还是感到非常震惊。
这一漏洞凸显了中国当局通过全国范围内的数字监控系统收集的大量数据,以及政府在保持这些数据安全方面所面临的困难。
由政府支持的国家行政学院11月发表的一份报告警告说,缺乏能够处理数字系统的专业人员,以及缺乏与技术供应商的协调,正在破坏政府利用技术更有效管理社会的努力。
据熟悉背景的员工称,被上海当局传召的阿里云高管陈雪松,曾是政府资助的公共安全和信息技术工程师(注:曾任中国电子科技集团公司第十五研究所的公共安全信息化事业本部主任,旷视高级副总裁、城市业务事业部总经理)。无法确定他们的谈话中讨论了什么。
据熟悉此事的员工和一位云服务的客户称,随着调查的继续,阿里云命令员工审查与主要客户签订的合同中的数据库架构和配置等细节,特别是那些拥有专用私有云资源的客户,如政府机构和金融机构。
对于网络安全研究人员上周发现的、被盗警方数据库没有密码的控制台一事,阿里巴巴和上海警方都没有发表评论。
LeakIX和SecurityDiscovery,是两家扫描网络上不安全数据库的网络安全公司,据其研究人员称,控制台上没有密码,也没有办法添加密码。
研究人员说,阿里巴巴提供的,用于存储数据的数据库和用于访问和管理数据的控制台,都使用了几年前的产品版本。他们说,这些版本不包括任何安全功能,如密码保护,如果没有一个单独的附加组件,就不会被安装。
缺少的附加组件对数据库来说并不重要,因为数据库被保存在一个安全的私人服务器上,但控制台被设置在公共互联网上,就像一扇通往数据保险库的大门,允许里面的信息不受约束地被导出。
数据库还缺少一个最新的安全证书,这是一个用于加密网络流量的唯一数字标识符,已经成为标准做法。据研究人员称,阿里巴巴最后一次部署新的证书是在2017年9月,并在一年后过期,而且从未更新过。
LeakIX的首席技术官格雷戈里·博丁说,对过期证书的依赖并没有增加数据库的脆弱性,但表明维护工作被忽视了。他说:“至少在过去四年里,没有对它进行任何维护”。
LeakIX和SecurityDiscovery都表示,他们发现了其他13个由阿里巴巴托管的数据库,这些数据库和控制台产品都使用相同的过期版本,而且数据库的设置与私人服务器上的数据库和公共互联网上的控制台相同。博丁说,所有13个数据库还共享同一个证书,证书后来过期了,这违反了安全方面的最佳做法。
根据LeakIX的记录,几乎所有的控制台都已经开放了一年之久。有两个数据库中包含的数据甚至比从上海警方窃取的23TB还要多。其中一个有超过60TB,而另一个有超过92TB。
SecurityDiscovery的老板鲍勃·迪亚琴科说:“即使是一天,也足以让这样规模的数据库被恶意行为者抓取和收集。”
博丁和迪亚琴科说,7月初,在泄漏事件开始在社交媒体上获得广泛关注后不久,阿里巴巴切断了公众对所有14个数据库的访问。
阿里巴巴创始人马云是在警务和社会控制中使用数据的早期传道者。2016年,他向150万名政治和法律官员发表演讲,其中他说对大量数据的分析将帮助公安机构追踪小偷,并在恐怖袭击发生前预测。
据政府支持的智库计世资讯称,阿里云是中国最大的公共云服务提供商,但在满足客户对自己的私有云系统的需求方面,它远远落后于华为等竞争对手。阿里巴巴的云计算业务在截至3月的季度里实现了盈利,成为中国第一家从这个烧钱行业赚钱的云服务提供商。
阿里巴巴此前曾因其数据安全做法而面临审查。12月,中国科技部暂停了与阿里巴巴的云计算部门的网络安全合作,为期六个月,因为中国政府称这家公司未能及时向其报告一个全球软件漏洞。
去年,在当地电信监管机构的压力下,阿里云披露了2019年的一起事件,一名员工向经销商泄露了客户联系信息。
本周早些时候,上海当局宣布对属于政府机构、国有公司、大型科技公司和其他实体的主要网站和平台进行网络安全审查,特别关注任何包含超过100万人的个人数据的网站。