溯源:上海政府国家警察库泄漏原因

dev 2022-07-03 17:59:24 #网络安全 8492

2022 年 6 月 30 日星期四上午 8:55:

一篇为 2022 - SHGA Shanghai Gov National Police database 的文章被用户「ChinaDan」发布于「BreachForums」的泄密数据交易市场。据其所言,这份数据来自于上海警察局,其包含了数十亿中国公民的 TB 级数据和信息。数据以 10 BTC ($200k USD) 的价格打包出售,以下是其发布的数据说明:

  • 主机:oss-cn-shanghai-shga-d01-a.ops.ga.sh
  • 数据表:
----TABLES----
person_address_label_info_slave QFpD25bKTJ2eQBxcbe2Aaw 90 0 546148916 0 172.2gb 172.2gb
nb_theme_address_merge_tracks_slave -bUMVB1uRRusUbbqZepEpA 300 0 37483779369 4 22.4tb 22.4tb
nb_theme_address_case_dwd_test 7COIWTt7QU-YPwWub8z_SQ 150 0 22375506 1749307 25.2gb 25.2gb
nb_theme_address_company_dwd-total fpnmEYB9SI6WevHnZIEwIA 150 0 1842856 0 2.8gb 2.8gb
nb_theme_address_case_dwd-total 7X8oNqULQnWFLpzHDaUTbg 150 0 1214119253 0 1tb 1tb
nb_theme_address_company_dwd_test g5f6l4LGQcGL3oQ6ON2Bbw 150 0 2017931 0 4.3gb 4.3gb
person_address_label_info_master t64pp9WnS3maY9jBjzTtiw 90 0 969830088 0 282.8gb 282.8gb

数据库包含有关 10 亿居民和数十亿案例记录,包括:

  • 姓名
  • 地址
  • 出生地
  • 身份证号码
  • 手机号码
  • 所有犯罪/案件详细信息

以上,ChinaDan 同时提供了 67 条不同类型的真实样本数据,这份数据在 2022-06-28 15:10:45 便被上传于 gofile 平台,截止(同年7月3日下午5点)拥有 10,488 次下载量。

同时在事件影响扩大后,ChinaDan 于 2022-07-03 01:51:14 上传了更大的样本数据(总计 750k 条),截止(同年 7 月 3 日下午 5 点)拥有 18,989 次下载量,目前这个下载量仍在激增。

u_1_62c222e66d03a_2664x1503.jpeg

样本

手机&地址:

{"_source":{"APP_TYPE":"1240002","ATTR_IDENT_LABEL":"07","ATTR_IDENT_LABEL_DETL":{"LABEL_DETL":[{"07":"shga_wa.ods_nb_app_icpoof_delivery"}]},"BIG_SOURCE":"WA","COUNT":"1","DATA_SOURCE":"115","DETAIL":{"nameinfo":[{"name":"蔡**"}]},"FIRST_TIME":"1598073511","IDENTITY_TYPE":"mobile","IDENTITY_VALUE":"186****1229","LAST_TIME":"1598073511","MRG_ID":"91171627c7237c4fe531fa45cd013d43","SRC_ADDRESS":"贵州省安顺市贵州省/安顺市/普定县贵州省贵州省安顺市普定县城关镇红旗路新天地","SRC_ID":"91171627c7237c4fe531fa45cd013d43","TABLE_SOURCE":"shga_wa.ods_nb_app_icpoof_delivery"},"_type":"a","sort":[33150]}

民事纠纷案例:

{"_id":"AW5jyyqudfH-9WxVQiAU","_index":"nb_theme_address_case_dwd-total","_score":null,"_source":{"ADDR_DETL":{"CASE":{"BRIEF_CASE":"2012年10月31日10时00分,报警人使用138****2599报警称:在 花园石桥路28弄6号楼门口(汤臣一品) 商务车、小轿车相碰,无人伤。两车事故,一方已离开,现另一方等待其回到小区后再行解决。","CASE_TYPE":null,"CASE_STATE":null},"ORGANIZER_POLICE_TYPE":null,"ORGANIZER":{"ORGANIZER_NAME":null,"ORGANIZER_AREA":null},"TIME":{"ACCEPTANCE_TIME":null,"REGISTER_TIME":null,"CLOSING_TIME":null,"PUNISH_TIME":null,"CASE_TIME":null,"REPORT_TIME":null},"ACCEPTANCE_UNIT_JSON":{"ACCEPTANCE_UNIT_NUMBER":null,"ACCEPTANCE_UNIT_NAME":null},"TABLE_SOURCE":"shga_dwd.base_wsba_hx_a_jbxx_df","CASE_ADDRESS":"上海市浦东新区花园石桥路28弄6号楼门口(汤臣一品)"},"ADDR_TYPE":"01","BLOCK_L4":"陆家嘴街道","BUILDING_L9":"6号楼","CASE_NUMBER":"B3101155500002012101272","CITY_L2":"上海市","CONFIDENCE":"5","COUNTY_L3":"浦东新区","GEOHASH7":"wtw3svg","GEOHASH8":"wtw3svg1","GEOHASH9":"wtw3svg19","LATITUDE":"31.233017","LOC_SOURCE":"0","LONGITUDE":"121.501989","MCS_ID":"2f3301f51d5052f427ad37885d021a6c","NONG_L6":"28弄","POI_L8":"汤臣一品","PROVINCE_L1":"上海市","ROAD_L5":"花园石桥路","STD_ADDRESS":"上海市上海市浦东新区陆家嘴街道花园石桥路28弄汤臣一品6号楼"},"_type":"a","sort":[26330]}

个人隐私信息:

{"_id":"AXtamq1fgpreNtWiOa87","_index":"person_address_label_info_master","_score":null,"_source":{"AGE":26,"BIRTHDAY":"1995","BPLACE":"浙江省杭州市富阳市","HHPLACE":"杭州市富阳区大源镇骆村村秦骆661号","IDNO":"330183199512******","IDTYPE":"01","PHOTO":{"身份证":["http://oss-cn-shanghai-shga-d01-a.ops.ga.sh/shga-ryzp/CSJ/ZHEJIANG_CZRK_ZP/51853153_33****.jpg"]},"QUERY_STRING":"  浙江省杭州市富阳市  杭州市富阳区大源镇骆村村秦骆661号 26 95 1995 上海市上海市青浦区香花桥街道久远路1660弄24号1**室","RNAME":"骆**","SEX":"男","STD_ADDRESS":"上海市上海市青浦区香花桥街道久远路1660弄24号1**室"},"_type":"a","sort":[6754190]}

溯源

该事件于 7 月 3 日凌晨在内地各大平台迅速发酵,一传十十传百后也出现了很多添油加醋的版本。但如果十亿数据量级为真,这无疑是影响最大的数据泄露事件之一,为众多产业提供了异常肥沃的土壤。

据朋友提醒,这次泄漏原因极大概率是源于 CSDN 上一位博主的文章:【Spring Boot + Datahub】阿里云流数据处理平台 基于2.15版本的数据读写

但如今 CSDN 上的原文已被删除,小蔗只有通过简单的社工手段获取对应副本,仅对本次事件的关键数据进行纰漏。拿到全文后,通过审阅其公布的示例代码可以直接发现问题所在:直接将阿里云 OSS 的 AccessId 及 AccessKey 以明文形式写在文章代码中,且在多个函数方法中均有出现。在下方关键片段中,小蔗对 AccessKey 进行了部分加密脱敏,虽然这 key 已经失去效用了,但走一下形式主义。^ ^

片段一:

public static void main(String[] args) {
    //Endpoint以Region: 华东1为例,其他Region请按实际情况填写
    String endpoint = "https://datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh";
    String accessId = "0iWV0NCs805VuAAu";
    String accessKey = "iEwlgpCnXDwT********G**my*ne**";
    String projectName = "sjc_rwzx";
    String topicName = "task_center_platform_request";
    RecordSchema schema = new RecordSchema();
    // 其余省略…
}

片段二:

public static void datahubSetmessage(TaskCenterPRQDTO dto) {
    String endpoint = "https://datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh";
    String accessId = "0iWV0NCs805VuAAu";
    String accessKey = "iEwlgpCnXDwT********G**my*ne**";
    String projectName = "sjc_rwzx";
    String topicName = "task_center_platform_request";
    DataHubConfigDTO dataHubConfigDTO = new DataHubConfigDTO();
    dataHubConfigDTO
        .setEndpoint(endpoint)
        .setAccessId(accessId)
        .setAccessKey(accessKey)
        .setProjectName(projectName)
        .setTopicName(topicName);
    DatahubExample example = new DatahubExample(dataHubConfigDTO);
    // 其余省略…
}

至此,事情已经较为明朗了。有关此次事件背后的更多信息小蔗将在以后不定期公布。

望请诸位提高安全意识,“家贼难防”。