资安媒体Cybernews近日发现，中国发生可能是史上规模最大的个资外泄事件。储存逾40亿笔个资、总计631GB的资料库未受密码保护，其中包括财务纪录、支付资讯等敏感个资，甚至也有台湾民众相关资料。

网络安全专家兼SecurityDiscovery.com网站所有者迪亚琴科（Bob Dyachenko）与Cybernews团队发现数十亿笔个资外泄事件。这个资料库包含来自不同来源的纪录，数量从50万笔到8亿多笔不等。Cybernews团队研判，资料库经过精心收集和维护，旨在建立近乎全面性的中国公民行为、经济和社会档案。

研究人员观察到，外泄资料数量庞大且类型多样，显示这很可能是1个“集中式数据汇集点，可能用于监控、分析或收集资料等目的”。

研究团队设法查看了16个资料集，这些资料集可能是依据内含资料类型来命名。其中最大的资料集名为“wechatid_db”，其中有逾8.05亿笔纪录，很可能是来自微信（WeChat）的资料。

第2大资料集“address_db”有超过7.8亿笔纪录，其中包括带有地理识别码的居住资料。第3大资料集称为“bank”，内有超过6.3亿笔财务纪录，包括信用卡卡号、生日、姓名和电话号码等个资。

报道指，只要掌握上述3个资料集，熟练的攻击者就能拼凑出用户的居住地、消费习惯、债务和储蓄状况等。

研究人员还发现，1个名为“tw_db”的资料集包含与台湾相关的资料。

此外，称为“wechatinfo”的资料集包含近5.77亿笔纪录，其中很可能包含通讯日志，甚至是用户对话。

另有3亿笔资料储存在“zfbkt_db”资料集内，其中包含支付宝卡号等资讯。攻击者可能试图利用这些资料进行未经授权的支付、接管帐号，甚至窃取用户身分。再加上其他外泄的资料集，这对用户来说堪称灾难。

中国发生可能是史上规模最大的个资外泄事件，有逾40亿笔敏感个资外泄。(示意图：Pexel)

超过3.53亿笔资料不均匀地分布在另外9个资料集中，涵盖主题十分广泛，包含赌博、车辆登记、就业资讯、退休金和保险等。

报道指，研究团队无法判定外泄资料属于任何可识别的组织，而且该资料库被发现后不久就遭关闭。

此外，由于资料所有者不详，加上缺乏通知受害者的管道，本次外泄事件的受害者恐将求助无门。