网站漏洞致中警数据外泄 阿里云高层被约见

《华尔街日报》引述消息人士报道，阿里巴巴（9988）云业务高管因警方数据大规模泄露事件，被上海市当局约谈，被约谈的高管包括不久前刚刚加入阿里负责数字政府部公安业务线的阿里云副总裁陈雪松。

据报道，调查是围绕上海警方一批估计涉及近10亿中国公民的敏感数据，这些数据于6月下旬在网上被以大约20万美元价格叫卖。网络安全研究人员说，一个管理该数据库的访问界面在公共互联网上开放了一年多，未设置密码，因此很容易盗取和删除其内容。

根据对该数据库的扫描，研究人员认定，该数据库被托管在阿里巴巴的云平台，该公司员工也证实了这一点。

据知情人士表示，在一位匿名卖家在网络犯罪论坛上，发布数据广告并提供数据样本后，阿里巴巴及其云计算部门的高官7月1日召开网络会议商讨紧急应对措施。

报道引述知情的阿里巴巴员工称，事发后已暂时切断了泄密数据库的所有访问权限，阿里工程师并开始检查相关代码。上述员工表示，泄露原因尚待查明。

网络安全公司LeakIX和SecurityDiscovery称，托管数据库及访问和管理该数据库的网关所使用技术已过时数年，也缺乏基本安全性能，他们还发现了另外13个由阿里巴巴托管的数据库使用了同样的过时数据库和网关版本，并且设置也一样。

LeakIX的记录显示，几乎所有这些数据库都大门敞开了一年，其中两个的数据量甚至远大于上海警方遭窃的23TB：一个逾60TB，另一个更是超过92TB。

据知情员工和一位阿里云客户透露，阿里云已要求员工重新审查与重要客户的数据库架构和配置等合同细节，特别是政府部门和金融机构。