近日,與中共政府部門合作的上海安洵資訊公司(I-SOON)疑似外泄遭網絡黑客竊取的資料信息。有學者認為,相關內容詳細展示了中共當局用於監視海外異見分子、黑客入侵其他國家以及在社交媒體上推廣親北京敘事的方法。
紐約時報揭中國大量收集公民個資及DNA確保威權統治
近日,在國際程式碼分享平台GitHub上,有匿名人士上傳大批疑似上海安洵信息公司(I-SOON)的內部資料,涉及銷售合同、報價、銷售對象、員工微信對話等。其中,有關文件還包括有關與50多個中共公安部門等警企合作,和30多個中國政府機構、國企等合作清單。在數份excel文件中,相關信息還列出疑似安洵公司過去曾攻擊的目標及曾竊取的數十個國家、上百個政府部門、軍政情報單位、電訊供應商、航空公司、大學等數據文件。
在GitHub上可見「上海安洵信息內幕」、「上海安洵信息不靠譜,坑國家政府機關」、「安洵背後的真相」、「安洵忽悠國家安全機關」、「安洵滲透海外政府部門包括印、泰、越、韓、北約」等內容。
截至目前,本台尚無法獨立核實上述信息的真實性。
台灣的法律科技協會理事長、海洋大學法政學院教授江雅綺接受自由亞洲電台採訪指出,從外泄文件中可見中國政府透過黑客公司向西方民主國家及周遭國家進行滲透的情況:「包括滲透的國家、單位,滲透或攻擊的方法,證實中國政府長期透過民間公司去執行滲透、攻擊他國的行動。資安是沒有硝煙的戰爭,就算系統已被植入木馬或間諜軟體,若還未開始發動攻擊,被攻擊單位不見得能發現。台灣應意識到資安的重要性和防範的重要性。」
安洵疑外泄國家安全機關員工微信對話
點進GitHub中的「安洵忽悠國家安全機關」話題可見,疑似安洵員工微信對話截圖泄露了一些日常運作和資訊取得、買賣情況。其中,中共公安部門是合作大戶,時間為2020年11月和2022年1月兩段區間。上述泄露的資料還出現買賣和相關信息保密期等對話。
近日,與中國政府部門合作的上海安洵資訊公司(I-SOON)疑似外泄遭網絡黑客竊取的資料信息。圖為2024年2月20日,位於四川成都的安洵信息公司前台。美聯社圖片
「上海安洵」官網列出「警企合作」名單,涉及中國各地公安部門多達55個。(「上海安洵」官網截圖)
此外,「香港」也是微信對話提到的關鍵字。而在員工對話中,「新疆」則是重點買賣情資。
根據中國的「企查查」網介紹,安洵信息是一家專注於資訊安全的技術型企業,提供風險評估、代碼審計、安全加固、安全運維、應急響應、滲透測試和APT攻擊防護等服務。
但台灣的資安工作者吳伊婷接受自由亞洲電台採訪指出,安洵的屬性似乎並不簡單。
安洵屬性及運作成疑
在GitHub平台披露的「安洵滲透海外政府部門」列表內容包括:印度政府總統府、內政部、出入境數據表、固話戶基礎信息等;馬來西亞的外交部、內政部、軍網,蒙古的電信、外交部、警察局;阿富汗航空的乘客信息;巴基斯坦反恐中心郵服數據、外交部禮賓司信息;吉爾吉斯坦營運商;尼泊爾政府、電信;泰國政府財政部、參議院、國家情報局、國內貿易部、國務委員辦公室;土耳其科技數據表;埃及政府網;法國巴黎政治學院;印度尼亞西外交部;越南政府人民法院;緬甸政府部門郵政、通訊公司;韓國營運商、人口數據;香港出入境管理局、職工盟、各大學、民主民生協進會等;台灣的台大醫院病人比例數據、VIBO通訊公司用戶表、政府道路信息數據、台灣大學應用力學研究所、淡江大學、圓桌教育基金會用戶表等。
吳伊婷研判,上述有關疑似安洵被外泄的資料真實性較高,例如當中提到台大醫院的醫療資料、台灣電信公司威寶(Vibo)、馬來西亞政府部門等。這些單位過去都曾傳出被駭,相關資料如今顯示「沒有權限」、「權限丟失」、「權限歸屬不明」,意味漏洞可能已修復。
吳伊婷說:「比較特別的,安洵應該有跟國外的黑客買一些可能別的黑客單位去入侵拿到的資料,或各種方式搜集到一些網絡上公開泄露出來的黑客資料。」
吳伊婷認為,上述資料的重點在國安部門或重要情治單位,學校的價值較低,看來業者心態是「能搜就搜」,可見客戶的需求以情報資料為主,業者會因應客戶去訂製這些資料。而中國國保、公安透過和民間業者、黑客組織「買資料」,若東窗事發可撇清責任。
專家:網絡傭兵、黑客公司、仲介資料
台灣的國防安全研究院副研究員曾怡碩接受自由亞洲電台採訪表示,上海安洵公司如同「網絡的傭兵」,駭進他們熟悉的中國制設備,如公共基礎設施、道路系統、通訊資訊網絡設施相對容易。
至於中國國保、公安等部門是否藉此向民間採購情報的問題,曾怡碩說,「高手在民間,會外包給外面的黑客,彼此簽合約,可能有開標案你要去競標。都屬於網絡傭兵。那些被駭的國家部門,如果採用中國的網絡監視系統、醫院的資訊管理系統,如採購華為基礎設施,沒有更改密碼,網絡傭兵有機可乘,輕易破解暢行無阻,再將竊取的資料回傳。」
曾怡碩分析,中國的有關公司可能接受政府、公安部委託監控滲透到其他國家,可能意圖是監控海外的異議人士。如果國安部要他們去滲透其他國家政府部門,可能要了解其他國家政要的資訊以及他國安全政策的走向和內部利益、其他商業機密、商業情報,不同部門有不同需求,開不同案子,希望他們能拿回什麼樣的資料。這些網絡傭兵主要看錢辦事,契約關係,沒有忠於國家的道德高度,竊取到的資料待價而沽。中國業者比較不會將資訊賣到他國,因為受政府高度監控,被發現情資外泄會相當不利其人身安全。
