近日，一個被全球主流銀行和超過300個政府情報機構使用的“風控數據庫”（又稱恐怖分子數據庫）發生數據泄露，530萬條高風險個人信息落入犯罪分子手中并在網上泄露。

全球最大的“黑名單”之一

泄露的數據庫名為World-Check，匯總了數以百萬的非法分子（高風險人物）和實體信息，例如恐怖分子、洗錢者、不端政客等，供企業驗證用戶可信度（KYC），尤其是銀行等金融機構用來驗證其客戶的身份，確定潛在客戶是否可能與洗錢等金融犯罪有關，或是否受到政府制裁。

World-Check從公開來源（例如官方制裁名單、監管執法名單、政府來源和值得信賴的媒體出版物）匯總數據，以訂閱方式提供給全球主流銀行和政府情報機構（需要通過嚴格的審核流程并簽署保密協議）。其中包含大量敏感人物信息，例如皇室成員、國家黑客組織成員、宗教人士、受制裁的政府官員和實體等。

World-Check數據庫泄露可能會對全球金融業的安全審核程序產生重大影響。畢竟，沒有一家銀行愿意與洗錢者扯上關系。

被第三方泄露

據The Register報道，上周四黑客組織GhostR宣稱對數據庫泄露事件負責。負責維護World-Check數據庫的倫敦證券交易所集團(LSEG)的發言人后來證實了這一說法。

LSEG發言人表示，數據泄露事件確實發生，但是通過第三方泄露的。

“這不是針對LSEG或我們系統的安全漏洞，”LSEG發言人說道：“此次事件涉及第三方的數據集，其中包含一份World-Check數據文件的副本。該副本是非法從第三方系統中獲取的。我們正在與受影響的第三方聯絡，以確保我們的數據安全，并確保通知任何相關執法機構。”

根據TechCrunch的報道，GhostR聲稱3月份入侵了一家能夠訪問World-Check數據庫的新加坡公司，但并未透露公司名稱及其與World-Check的關系。

1萬條泄露數據樣本流出

黑客組織GhostR并未透露竊取數據的動機，但在回復The Register的郵件中表示將很快開始泄露數據庫。GhostR聲稱第一次泄露將包含數千人的詳細信息，其中包括“皇室成員”。

為驗證其說法的真實性，GhostR向The Register提供了1萬條被盜數據的樣本供查閱核驗。據稱整個數據庫總共包含超過500萬條記錄。

研究者快速瀏覽樣本后發現，該名單上來自不同國家的大量個人和實體因各種原因被列入其中，包括政治人物、法官、外交官、恐怖分子嫌疑人、洗錢者、毒品大王、網站、企業等。

一些網絡犯罪嫌犯也出現在名單上，其中包括本月才進入數據庫的國家APT黑客組織成員，一家來自塞浦路斯的間諜軟件公司也出現在樣本中。

根據GhostR提供的泄露數據樣本，World-Check原始數據包括社會安全號碼、銀行賬號、加密貨幣賬戶、護照、全名、個人類別（例如有組織犯罪成員或政治人物）、有時還包括具體職務、出生日期和地點（如果已知）、其他已知的別名、性別以及出現在名單上的原因簡要說明。

八年前發生過一次泄露

這并不是World-Check數據庫第一次發生重大泄露事故。在World-Check還屬于湯森路透旗下資產時，其早期版本曾在2016年發生過泄露，當時僅泄露了220萬條記錄（遠遠低于本次泄露的530萬條）。該數據庫當時在網上被公開販賣，每份副本售價6750美元。湯森路透證實了這一泄密事件，指出泄露的記錄“已經過時”，并報道稱這些記錄在發現后已被第三方刪除。

值得注意的是，盡管World-Check數據聲稱是從可靠來源匯總而來，但過去曾有無辜人士被添加到World-Check名單上。在2016年第一次泄露時，調查發現其數據存在不準確之處，并且將許多人錯誤地列為恐怖分子。

如何檢查個人信息是否在World-Check數據庫中

2021年，LSEG（倫敦證券交易集團）以270億美元收購了金融數據公司Refinitiv，World-Check歸LSEG所有。

擔心個人信息可能包含在（泄露）數據庫中的人可以向LSEG提交查詢。倫敦證券交易所網站指出，主體有權索取其所持有的任何個人信息的副本、要求更新個人信息并反對處理其個人信息，并且請求無需支付任何費用。

該網站還指出，LSEG可能并不總是能夠滿足請求，如無法滿足請求將提供解釋。