中國用來存放監控資料的MongoDB資料庫曝光了
中國政府用來儲存3億筆社交平台行為監視紀錄的資料,近期被發現以未加密方式存放於
MongoDB資料庫
iThome 文/陳曉莉 | 2019-03-05發表
中國政府監控民眾網路行為的政策幾乎舉世皆知,但一名資安研究人員Victor Gevers揭
露了一個可公開存取、且存放著中國監控民眾的資料庫,進一步向外界展示了中國的監控
規模。
此一可公開存取的MongoDB資料庫位於中國,它蒐集了3.64億個連結真實身分的網路個人
檔案,紀錄他們在六大社交平台上的聊天內容或檔案傳輸行為,而且透過各省份與縣市的
警察局與座落在其它17個地區的MongoDB資料庫同步,這些資料庫都擁有同樣的監控網路
名稱,也全都允許公開存取。
Gevers從資料庫上找到的六大社交平台代號為imsg、qg、qqmesg、wwhmsg、wxmsg及yymsg
,推測它們分別是IS語音服務、QQ Group、QQ Message、wangwang message(阿里旺旺)
、微信及YY傳訊,而且應是透過網咖所安裝的「網吧管理軟件」所蒐集的。
根據中國政府的規定,要經營網咖必須經過文化局與當地警方的批准,部份地方政府還要
求網咖在電腦上安裝監控軟體,可紀錄使用者的公開或私人聊天訊息、姓名、身分證字號
、照片、GPS位置、網路資訊,以及所傳遞的檔案等,還能推播廣告、通知,以及執行程
式。
Gevers指出,中國的警方每天會手動檢查2,600~2,900則訊息,多數的通訊紀錄看起來都
像是青少年之間的對話,但目前並不清楚哪些字串或內容會觸動審查機制。
此外,儘管中國不重視人民的隱私,但如此輕率地存放中國民眾的隱私資料也令Gevers大
吃一驚,Gevers已知會了代管這些資料庫的ISP,該ISP業者在一天之內便保全了當中的17
個資料庫。
其實Gevers今年2月還揭露兩起可公開存取的中國監控資料庫,例如有一個MongoDB資料庫
存放了新疆維吾爾自治區的260萬名民眾的監控資料,另一個MongoDB資料庫則是存放了超
速及闖紅燈的數百萬輛汽車違規照片與車牌資料。
https://www.ithome.com.tw/news/129102