安全研究人员披露中国一城市网吧监控数据库的安全漏洞

3 月 3 日，非营利网络安全组织荷兰 GDI 基金会 （GDI Foundation）安全研究员 Victor Gevers 在 Twitter 上称，他发现中国的一个涉及监控的大型数据库出现安全漏洞，这个数据库同步在 18 个服务器里，涉及 3.64 亿个条目，以及明文分类保存的 6 种常用消息程序的私密聊天信息（文字、图片与文件），以及包括用户名、身份证号、身份证照片、网络信息、网吧名称地址、经纬度座标以及对口的派出所在内的信息。

So this social media surveillance program is retrieving (private) messages per province from 6 social platforms and extracts named, ID numbers, ID photos, GPS locations, network information, and all the conversations and file transfers get imported into a large online database.

— Victor Gevers (@0xDUDE) March 2, 2019

上个月 12 日，Victor Gevers 曾披露过深圳 AI 视频公司 深网视界关键数据库漏洞 ，涉及 257 万个人信息与合计约 668 万条记录，包含身份证号码、性别、国籍、地址、生日、照片、雇主等信息，以及这些人过去 24 小时内经过的地点。

Around 364 million online profiles and their chats & file transfers get processed daily. Then these accounts get linked to a real ID/person. The data is then distributed over police stations per city/province to separate operators databases with the same surveillance network name

— Victor Gevers (@0xDUDE) March 2, 2019

Victor Gevers 表示他展示这些数据的目的是提高企业对数据库安全的意识，而不是挖掘数据背后的用法和场景。并且他已经将漏洞通知中国电信主干网。经他证实，中国电信早前停止了这些数据库的外部访问。

在题图的泄露数据库截图里，Victor Gevers 展示了 5 个条目，展示了部分监控系统在 1 秒钟内收集到的来自不同网吧的不同电脑的访问记录。TechCrunch 注意到无论是游戏网站（穿越火线），还是 QQ 视频，还是疑似博彩类页游弹窗广告，都是明文传输的 http 开头。

TechCrunch 中文版整理了相关字段，发现以下有趣信息：

换句话说，这个数据库是针对网吧的环境定制的。赋予“新苹果网吧”的地区代码是 0001，另一个是 0010，同时两个网吧都处在盐城市的范围内，我们猜测这可能代表此数据库划定的物理范围并没有想象中那么大。

我们搜索了 OrgCode 的赋值 55080760X，得到了 山东恒邦网络技术有限公司 的信息，搜索出的另一个结果， 一个网吧管理系统安装教程 显示，填写供应商组织机构代码似乎是使用网吧管理系统的必须步骤。

再查询盐城市相关部门的公开采购信息，我们看到 2017 年 9 月，山东恒邦以 96500 元的价格竞得盐城市公安局警用系统采购招标（项目编号 YCGACG2017-TP09）。恒邦旗下的恒信一卡通作为网吧的管理系统，与提供给公安的客户端对接，就在情理之中。

这也就意味着，整个事件很有可能是山东恒邦的网吧管理套件的公安端所使用的 MongoDB 数据库系统出现了安全漏洞。由于 MongoDB 默认不启用身份验证 ，若安装在本地则没有大碍，一旦将数据库置于可被外界访问的状态，运维忘记或者忽视了做安全加强则是非常危险的事情。此前 GDI 就指出过几次 MongoDB 数据库的问题，包括上个月深网视界的泄露，也是因为使用了未加安全验证的 MongoDB。

另外据 Victor Gevers 介绍，这个数据库是 3 月 2 日突然出现在 IPv4 网络的（原话是「only since 2 of March…these popped out suddenly out of nowhere」），我们的分析可能是周末恒邦的运维对数据库做了某些改动，无意中将访问的权限开放给了所有人。

国务院 2016 年修订颁布的《 互联网上网服务营业场所管理条例 》第三章二十三条规定：「互联网上网服务营业场所经营单位应当对上网消费者的身份证等有效证件进行核对、登记，并 记录有关上网信息。登记内容和记录备份保存时间不得少于 60 日 ，并在文化行政部门、公安机关依法查询时予以提供。登记内容和记录备份在保存期内不得修改或者删除。」

这条规定可能就是目前网吧内容进行监控的法律依据。我们在政府招标的公开信息平台上 以网吧为关键字搜索 ，仅仅 2019 年就得到不少全国各地相关监控系统的招投标信息。

这次盐城网吧数据库泄露事件中，6 个涉及监视的聊天软件疑似为 IS 语音（而不是苹果的 iMessage）、QQ 群聊、QQ 私聊、阿里旺旺、微信、YY 语音，涵盖聊天，游戏，购物等方面。值得注意的是，两段数据库收录的私人对话没有任何敏感信息，只是日常的 QQ 聊天，连卖游戏帐号的广告信息也收录进去。

遗憾的是，他并没有披露其他 5 个聊天软件在数据库中是如何呈现的，包括坚称「 不留存任何用户的聊天记录，聊天内容只存储在用户的手机、电脑等终端设备上 」的微信。

Thank you. The imsg they refer to appears to be ""C:\Users\Administrator\AppData\Roaming\iSpeak/im/users"

— Victor Gevers (@0xDUDE) March 2, 2019

如果微信严格遵守《 微信隐私保护指引 》，使用技术手段（如 SSL）保护用户信息在传输到微信服务器期间不被第三方获取，那么理论上只有在网吧终端 伪造证书，使用中间人攻击 的方法才可以获得微信聊天的具体内容。至于究竟是谁开了后门，这需要进一步的分析。

就事论事，中文世界里，各路人马对这起事件中关键词的转译摘取，重新组合，二次演绎，在几十个小时之内已经完全失去客观。开放互联网这端自说自话，封闭局域网那端封杀殆尽，只得捕风捉影，唯能说一句非常遗憾。

当然，我们并不想为政府开脱，我们非常清楚政府对网吧的监控并不止于盐城，对网络的监控并不止于网吧。这次是很多普通人第一次看到一个监控系统可以收集什么样的信息，做到什么样的程度，即使它只是一个三线城市的网吧的监控系统。