中國用來存放監控資料的MongoDB資料庫曝光了

中國政府監控民眾網路行為的政策幾乎舉世皆知，但一名資安研究人員Victor Gevers揭露了一個可公開存取、且存放著中國監控民眾的資料庫，進一步向外界展示了中國的監控規模。

此一可公開存取的MongoDB資料庫位於中國，它蒐集了3.64億個連結真實身分的網路個人檔案，紀錄他們在六大社交平台上的聊天內容或檔案傳輸行為，而且透過各省份與縣市的警察局與座落在其它17個地區的MongoDB資料庫同步，這些資料庫都擁有同樣的監控網路名稱，也全都允許公開存取。

Gevers從資料庫上找到的六大社交平台代號為imsg、qg、qqmesg、wwhmsg、wxmsg及yymsg，推測它們分別是IS語音服務、QQ Group、QQ Message、wangwang message（阿里旺旺）、微信及YY傳訊，而且應是透過網咖所安裝的「網吧管理軟件」所蒐集的。

根據中國政府的規定，要經營網咖必須經過文化局與當地警方的批准，部份地方政府還要求網咖在電腦上安裝監控軟體，可紀錄使用者的公開或私人聊天訊息、姓名、身分證字號、照片、GPS位置、網路資訊，以及所傳遞的檔案等，還能推播廣告、通知，以及執行程式。

Gevers指出，中國的警方每天會手動檢查2,600~2,900則訊息，多數的通訊紀錄看起來都像是青少年之間的對話，但目前並不清楚哪些字串或內容會觸動審查機制。

此外，儘管中國不重視人民的隱私，但如此輕率地存放中國民眾的隱私資料也令Gevers大吃一驚，Gevers已知會了代管這些資料庫的ISP，該ISP業者在一天之內便保全了當中的17個資料庫。

其實Gevers今年2月還揭露兩起可公開存取的中國監控資料庫，例如有一個MongoDB資料庫存放了新疆維吾爾自治區的260萬名民眾的監控資料，另一個MongoDB資料庫則是存放了超速及闖紅燈的數百萬輛汽車違規照片與車牌資料。