主题：上海可能有出大问题了 -- 放牛郎

申城可能又捅了个大篓子。不久前某黑客在某网站宣布从申城某部门数据库获得了大量泄露的数据。这些数据分6个文件，其中有「10亿用户的个人信息和数十亿报警记录」，总体积达23.89TB。黑客为这些数据开价10个比特币（按现在的市价约合130万人民币）。

仅凭以上信息，大部分人都不会当真。黑客也知道空口无凭很难卖出去，于是公开了其中一部分数据，共598MB，分3个文件，每个文件有25万行的信息。我出于好奇浏览了一下，越看越感到胆战心惊。

其中关于个人信息的文件罗列了数十万公民的姓名、性别、民族、出生日期、身份证号、手机号码、出生地、居住地、身高、教育水平、职业、婚姻状况以及居住证和身份证的照片。其中最年长的人有1900年出生的，最年轻的在2020年出生，不分男女老幼。数据来源显示有人口办、交警总队、科技处和出入境系统等。我用某支付软件转账的方法随机抽样验证了几个手机号，都能和真名对得上，说明这部分数据大概率是真实的。

其中关于报警记录的文件包括报警人的姓名、报警人的电话、报警人的身份证号、报警人住址、报警人描述的案情、出警情况、警C的姓名、涉案人员的姓名、身份证号、犯罪历史等等。用上面的方法抽样核对案件相关人员的电话和姓名也都能对得上。如果说这25万条像模像样的警情都是伪造的，我认为概率很低。

现在唯一无法确定的事情是黑客究竟有没有获得23.89TB的数据，抑或是他只拿到了已公开的598MB，用这些信息骗钱。

无论是哪种情况，从已经公开的部分数据来看，这就是一次性质极其恶劣、后果极其严重的个人信息泄露事故。很多人的第一反应是大家在未来无限期的时间内会遇到各种各样的电信诈骗，事实上这些数据的威力远远不止如此。这次泄露可能导致的严重后果我举几个简单的例子：

对于一个有点坏心肠的普通人来说，他可以去搜索仇人的姓名查询对方有什么案底和黑材料，借此恐吓勒索；

对于一个刑满释放的罪犯来说，他可以去搜索自己的姓名查询是谁当初报警导致自己被抓，然后按照报警人的住址去报复；

对于境外势力来说，这些数据就是《百官行述》，他可以搜索我国的干部、军人和警C的信息，如果发现对他们不利的内容，就直接打电话要挟，以此套取情报和机密；

……

黑客在跟帖中表示这些数据是通过国内某某云对象存储服务（OSS）获取的。如果属实，这就意味着申城有关部门把数十万到十亿中国人的数据不设防地放在了一个私企运营的商业在线存储平台上，这种做法本身就是非常不合适的。涉密云服务这类国家重要基础设施理应由值得信赖的国有企业提供。

虎兕出于柙，龟玉毁于椟中，是谁之过与？典守者不得辞其责。

出了这么大的事，让几十万到十几亿的中国人在全世界面前裸奔，这次真的不能再罚酒三杯了。