网传40亿条数据记录遭泄露,涉微信、支付宝等敏感信息

【纬度新闻网】据网络安全研究团队Cybernews最新披露,中国发生迄今为止最大规模的数据泄露事件。一个未设密码保护的631GB数据库暴露了超过40亿条记录,涉及数亿中国公民的财务数据、微信和支付宝信息等敏感个人资料。此次泄露被认为是迄今为止中国单一来源最大规模的数据泄露事件,引发广泛关注和担忧。
Cybernews研究团队与网络安全专家Bob Dyachenko合作,于5月19日发现这一未受保护的数据库,包含16个按数据类型命名的子集。最大数据集“wechatid_db”包含8.05亿条记录,疑似来自微信,可能涵盖用户标识信息;“address_db”包含7.8亿条记录,涉及详细住址和地理标识;“bank”数据集包含6.3亿条金融记录,包括银行卡号、姓名、出生日期和电话号码。此外,“zfbkt_db”包含3亿条支付宝卡证令牌信息,另有2000万条支付宝相关财务数据,可能导致账户盗用和身份盗窃风险。
研究团队指出,数据库还包括一个6.1亿条记录的“三要素校验”数据集,涉及身份证号、手机号和用户名,以及353万条涵盖赌博、车辆登记、就业信息、保险和养老基金等内容的次级数据集。其中,一个名为“tw_db”的数据集疑似涉及台湾地区信息,引发外界对潜在地缘政治监控的担忧。
Cybernews研究团队表示,该数据库的庞大数据量和多样性表明其可能被用作集中聚合点,用于构建几乎所有中国公民的行为、经济和社会画像。攻击者可通过交叉比对不同数据集,精准获取用户的居住地址、消费习惯、债务及资产状况,从而实施高度针对性的钓鱼攻击、身份盗窃或敲诈勒索。
“此次泄露的规模和复杂性令人震惊,可能需要国家级资源或有组织的威胁团体才能构建如此庞大的数据库,”研究人员指出。
数据库在发现次日(5月20日)迅速下线,但未留下任何归属信息,研究团队无法确认其所有者或运营方。由于缺乏通知渠道,受影响用户难以采取直接维权措施。
此前,中国曾发生多起重大数据泄露事件,包括2022年涉及10亿条记录的上海公安数据库泄露,以及微博、滴滴等平台的15亿条记录泄露。然而,Cybernews表示,此次40亿条记录的泄露规模远超以往,成为已知最大单一来源的中国公民数据泄露案例。
Cybernews建议用户通过其“个人数据泄露检查器”查询邮箱或手机号是否受影响,并立即更改相关账户密码,启用双因素认证。同时,专家提醒用户警惕异常的电话或网络活动,以防钓鱼诈骗或身份盗用。
尽管中国政府近年来加强了数据保护立法,如《个人信息保护法》和《数据安全法》,但大规模数据泄露仍对个人隐私和国家安全构成威胁。分析人士呼吁加强数据存储安全标准,提升企业与机构的防护能力,并推动国际合作应对跨国数据犯罪。