上海警察から流出した10億人分の個人情報は1年以上パスワードなしで公開されていたことが判明

上海警察のデータベースから10億人相当の個人情報24TB分が盗み出された事件について、当該データベースの情報が1年以上、パスワードなしでアクセス可能な状態にあったことがわかりました。

CNN.co.jp : 中国１０億人の個人情報流出、１年以上前から放置　警察の犯罪記録も
https://www.cnn.co.jp/tech/35190030.html

中国の個人情報流出、データ1年余り公開状態で放置 - WSJ
https://jp.wsj.com/articles/china-police-database-was-left-open-online-for-over-a-year-enabling-leak-11657151735

指摘によると、問題のデータベースは、アドレスを知っている人であればアクセス可能なバックドアリンクを介して、パスワードなどの入力を必要とせず、誰でも見られる状態が少なくとも2021年4月以降、2022年6月ごろまで1年以上にわたって続いていたとのこと。

ダークウェブ情報企業Shadowbyteの創業者であるヴィニー・トロイア氏はCNNやウォール・ストリート・ジャーナルに対し、2021年4月に当該データベースはアクセス可能な状態にあって、アカウント登録をすれば見られる状態だったと認め、データが公開されていたことについて「これだけの膨大なデータを無防備な状態で放置しているとは信じがたいことです」と述べました。

なお、トロイア氏は2019年にも同様に、誰でもアクセス可能な状態で12億件分の個人情報が保存されていたデータベースを発見しています。

12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明 - GIGAZINE