根據資安媒體Cybernews的研究團隊最新發現，中國疑似爆發史上最嚴重個資外洩事件，該資料庫未受密碼保護、儲存逾 40 億筆、總計 631 GB的資料，包括支付卡號、出生日期、姓名和電話號碼等，其中疑似有台灣用戶。

Cybernews報導，網路安全專家兼SecurityDiscovery.com網站所有者Bob Dyachenko與Cybernews團隊在一個公開資料庫中發現數十億筆個資外洩事件。

該資料庫包含來自不同來源的紀錄，數量從 50 萬筆到逾 8 億筆不等。Cybernews團隊認為，該資料庫經過精心收集和維護，目的是建立近乎全面性的中國公民行為、經濟和社會檔案。

研究團隊指出，遭外洩的資料數量龐大且類型多樣，很可能是一個「集中式數據匯集點，可能用於監控、分析或收集資料等目的而設立的。若落入惡意勢力手中，恐用於釣魚詐騙、勒索，甚至是由國家支援的情報用途或假訊息散播。

外洩的資料庫中包含哪些資料？

報導指出，研究團隊無法判定外洩資料庫的擁有者身分，而且該資料庫被發現後不久就遭關閉。

研究團隊設法查看了 16 個資料集，這些資料集可能是依據內含資料類型來命名，其中最大的資料集名為「wechatid_db」，其中有逾 8.05 億筆紀錄，很可能是來自騰訊旗下微信（WeChat）的資料。

第 2 大資料集「address_db」包含超過 7.8 億筆紀錄，其中包括帶有地理識別碼的居住資料。第 3 大資料集稱為「bank」，內有超過6.3億筆財務紀錄，包括信用卡卡號、生日、姓名和電話號碼等個資。

報導指，只要掌握上述 3 個資料集，熟練的攻擊者就能串聯各種數據點，進而掌握特定用戶的居住地、消費習慣、債務和儲蓄狀況等。

資料集中另一個重要的資料庫名以中文命名，大致的意思為「三要素校驗」，該資料庫包含超過 6.1 億筆紀錄，很可能包含身份證號碼、電話號碼以及用戶名。

一個名為「wechatinfo」的資料集內有近 5.77 億筆紀錄，其中很可能包含通訊日誌，甚至是用戶對話。

另有 3 億筆資料儲存在「zfbkt_db」資料集內，其中包含支付寶卡號等資訊。攻擊者可能試圖利用這些資料進行未經授權的支付、接管帳號，甚至竊取用戶身分。再加上其他外洩的資料集，其中包含 2,000 萬筆和支付寶相關的財務資料記錄，對於資料外洩的用戶來說堪稱災難。

超過 3.53 億筆資料分散於另外 9 個資料集中，內容涵蓋之廣，包含賭博、車輛登記、就業資訊、退休金和保險等。研究團隊還發現一個名為「tw_db」的資料集，包含與台灣相關的資料。

中國資安外洩問題

Cybernews團隊說，我們已盡最大努力，但仍無法判定外洩資料屬於哪個可識別的組織，而且該資料庫被發現後不久就遭關閉。由於資料所有者不詳，加上缺乏通知受害者的管道，這次外洩事件的受害者恐將求助無門。

該團隊表示，其實，中國的個資外洩事件層出不窮，包含 2020 年超過 5 億微博用戶的個人資料被洩漏、2021-2022 年滴滴違規收集使用個人信息問題、2022 年上海公安資料庫洩露事件，以及不明人士洩漏超過 12 億筆中國用戶資料。還有日前的攻擊者在網路上公開 6,200 萬名iPhone用戶資料。