没设密码 10亿中国警方数据外泄 阿里云高层被约谈

（香港15日讯）华尔街日报引述消息人士报道，阿里巴巴云业务高管因警方数据大规模泄露事件被上海市当局约谈。被约谈的高管包括不久前刚刚加入阿里负责数字政府部公安业务线的阿里云副总裁陈雪松。

报道指，调查围绕一批涉及近10亿中国公民的上海警方敏感数据6月下旬以约20万美元价格在网上出售，网络安全研究人员说，一个管理该数据库的网关在公共互联网上开放了一年多，未设置密码，因此很容易让外界盗取和删除其数据库内容。

网络安全研究员称，根据对数据库元数据的分析，警方数据库托管在阿里云上，阿里巴巴员工也证实了业务关系。

报道引述知情的阿里巴巴员工称，事发后已暂时切断了泄密数据库的所有访问权限，阿里工程师并开始检查相关代码。上述员工表示，泄露原因尚待查明。

网络安全公司LeakIX和SecurityDiscovery称，托管数据库及访问和管理该数据库的网关所使用技术已过时数年且缺乏基本安全性能，他们还发现了另外13个由阿里巴巴托管的数据库使用了同样的过时数据库和网关版本，并且设置也一样。

LeakIX的记录显示，几乎所有这些数据库都大门敞开了一年，其中两个的数据量甚至远大于上海警方遭窃的23TB：一个逾60TB，另一个更是超过92TB。

据知情员工和一位阿里云客户透露，阿里云已要求员工重新审查与重要客户的数据库架构和配置等合同细节，特别是政府部门和金融机构。（香港明报综合）