中国用来存放监控资料的MongoDB数据库曝光了
中国政府用来储存3亿笔社交平台行为监视纪录的资料,近期被发现以未加密方式存放于
MongoDB数据库
iThome 文/陈晓莉 | 2019-03-05发表
中国政府监控民众网络行为的政策几乎举世皆知,但一名资安研究人员Victor Gevers揭
露了一个可公开存取、且存放著中国监控民众的数据库,进一步向外界展示了中国的监控
规模。
此一可公开存取的MongoDB数据库位于中国,它蒐集了3.64亿个连结真实身分的网络个人
档案,纪录他们在六大社交平台上的聊天内容或档案传输行为,而且透过各省份与县市的
警察局与座落在其它17个地区的MongoDB数据库同步,这些数据库都拥有同样的监控网络
名称,也全都允许公开存取。
Gevers从数据库上找到的六大社交平台代号为imsg、qg、qqmesg、wwhmsg、wxmsg及yymsg
,推测它们分别是IS语音服务、QQ Group、QQ Message、wangwang message(阿里旺旺)
、微信及YY传讯,而且应是透过网咖所安装的“网吧管理软件”所蒐集的。
根据中国政府的规定,要经营网咖必须经过文化局与当地警方的批准,部份地方政府还要
求网咖在电脑上安装监控软件,可纪录使用者的公开或私人聊天讯息、姓名、身分证字号
、照片、GPS位置、网络资讯,以及所传递的档案等,还能推播广告、通知,以及执行程
式。
Gevers指出,中国的警方每天会手动检查2,600~2,900则讯息,多数的通讯纪录看起来都
像是青少年之间的对话,但目前并不清楚哪些字串或内容会触动审查机制。
此外,尽管中国不重视人民的隐私,但如此轻率地存放中国民众的隐私资料也令Gevers大
吃一惊,Gevers已知会了代管这些数据库的ISP,该ISP业者在一天之内便保全了当中的17
个数据库。
其实Gevers今年2月还揭露两起可公开存取的中国监控数据库,例如有一个MongoDB数据库
存放了新疆维吾尔自治区的260万名民众的监控资料,另一个MongoDB数据库则是存放了超
速及闯红灯的数百万辆汽车违规照片与车牌资料。
https://www.ithome.com.tw/news/129102