上海安洵資料外洩販售國內外被駭情資大曝光

2024年2月23日發表

【人民報消息】近日，與中共政府部門合作的上海安洵資訊公司（I-SOON）疑似外泄遭網絡黑客竊取的資料信息。有學者認爲，相關內容詳細展示了中共當局用於監視海外異見分子、黑客入侵其他國家以及在社交媒體上推廣親北京敘事的方法。據自由亞洲電臺報導，近日，在國際程式碼分享平臺GitHub上，有匿名人士上傳大批疑似上海安洵信息公司（I-SOON）的內部資料，涉及銷售合同、報價、銷售對象、員工微信對話等。其中，有關文件還包括有關與50多箇中共公安部門等警企合作，和30多箇中共政府機構、國企等合作清單。在數份excel文件中，相關信息還列出疑似安洵公司過去曾攻擊的目標及曾竊取的數十個國家、上百個政府部門、軍政情報單位、電訊供應商、航空公司、大學等數據文件。在GitHub上可見「上海安洵信息內幕」、「上海安洵信息不靠譜，坑國家政府機關」、「安洵背後的真相」、「安洵忽悠國家安全機關」、「安洵滲透海外政府部門包括印、泰、越、韓、北約」等內容。截至目前，本臺尚無法獨立覈實上述信息的真實性。臺灣的法律科技協會理事長、海洋大學法政學院教授江雅綺接受自由亞洲電臺採訪指出，從外泄文件中可見中共政府透過駭客公司向西方民主國家及周遭國家進行滲透的情況：「包括滲透的國家、單位，滲透或攻擊的方法，證實中共政府長期透過民間公司去執行滲透、攻擊他國的行動。資安是沒有硝煙的戰爭，就算系統已被植入木馬或間諜軟體，若還未開始發動攻擊，被攻擊單位不見得能發現。臺灣應意識到資安的重要性和防範的重要性。」 安洵疑外泄國家安全機關員工微信對話 點進GitHub中的「安洵忽悠國家安全機關」話題可見，疑似安洵員工微信對話截圖泄露了一些日常運作和資訊取得、買賣情況。其中，中共公安部門是合作大戶，時間爲2020年11月和2022年1月兩段區間。上述泄露的資料還出現買賣和相關信息保密期等對話。

「上海安洵」官網列出「警企合作」名單，涉及中國各地公安部門多達55個。（「上海安洵」官網截圖）

此外，「香港」也是微信對話提到的關鍵字。而在員工對話中，「新疆」則是重點買賣情資。根據中國的「企查查」網介紹，安洵信息是一家專注於信息安全的技術型企業，提供風險評估、代碼審計、安全加固、安全運維、應急響應、滲透測試和APT攻擊防護等服務。但臺灣的資安工作者吳伊婷接受自由亞洲電臺採訪指出，安洵的屬性似乎並不簡單。 安洵屬性及運作成疑 在GitHub平臺披露的「安洵滲透海外政府部門」列表內容包括印度政府總統府、內政部、出入境數據表、固話戶基礎信息等；馬來西亞的外交部、內政部、軍網，另外還有蒙古、阿富汗、巴基斯坦、吉爾吉斯斯坦、泰國、土耳其、香港、臺灣等政府、企業、學術機構的信息。吳伊婷研判，上述有關疑似安洵被外泄的資料真實性較高，例如當中提到臺大醫院的醫療資料、臺灣電信公司威寶（Vibo）、馬來西亞政府部門等。這些單位過去都曾傳出被駭，相關資料如今顯示「沒有權限」、「權限丟失」、「權限歸屬不明」，意味漏洞可能已修復。吳伊婷說：「比較特別的，安洵應該有跟國外的駭客買一些可能別的駭客單位去入侵拿到的資料，或各種方式蒐集到一些網路上公開泄露出來的駭客資料。」吳伊婷認爲，上述資料的重點在國安部門或重要情治單位，學校的價值較低，看來業者心態是「能搜就搜」，可見客戶的需求以情報資料爲主，業者會因應客戶去訂製這些資料。而中共國保、公安透過和民間業者、駭客組織「買資料」，若東窗事發可撇清責任。專家：網路傭兵、駭客公司、仲介資料臺灣的國防安全研究院副研究員曾怡碩接受自由亞洲電臺採訪表示，上海安洵公司如同「網路的傭兵」，駭進他們熟悉的中國製設備，如公共基礎設施、道路系統、通訊資訊網路設施相對容易。至於中共國保、公安等部門是否藉此向民間採購情報的問題，曾怡碩說，「高手在民間，會外包給外面的駭客，彼此籤合約，可能有開標案你要去競標。都屬於網路傭兵。那些被駭的國家部門，如果採用中國的網絡監視系統、醫院的資訊管理系統，如採購華爲基礎設施，沒有更改密碼，網路傭兵有機可乘，輕易破解暢行無阻，再將竊取的資料回傳。」曾怡碩分析，中國的有關公司可能接受政府、公安部委託監控滲透到其他國家，可能意圖是監控海外的異議人士。如果國安部要他們去滲透其他國家政府部門，可能要了解其他國家政要的資訊以及他國安全政策的走向和內部利益、其他商業機密、商業情報，不同部門有不同需求，開不同案子，希望他們能拿回什麼樣的資料。這些網路傭兵主要看錢辦事，契約關係，沒有忠於國家的道德高度，竊取到的資料待價而沽。中國業者比較不會將資訊賣到他國，因爲受政府高度監控，被發現情資外泄會相當不利其人身安全。△