10拍字节(Petabyte)是什么概念?按一部高清电影5GB计算,相当于200万部电影。一位代号"FlamingChina"的黑客声称,自己从中国国家超级计算天津中心(NSCC-Tianjin)搬走了这么多数据——如果属实,这将是中国历史上规模最大的数据泄露事件。
消息最早出现在2026年2月初。一个匿名用户在Telegram频道上传了样本数据集,网络安全研究人员迅速介入验证。多名独立研究者确认数据真实性后,黑客开始明码标价:几千美元看"限量预览",完整访问权限则要价数十万美元加密货币。
被盯上的天津中心来头不小。这里曾运行过多台全球最快超级计算机,包括2010年登顶TOP500榜单的"天河一号"。CNN报道称,该中心服务超过6000家客户,涵盖中国商飞(C919客机制造商)、国防科技大学、中国航空工业集团等机构。泄露文件包括涉密国防文档、导弹设计图,以及航空工程、生物信息学、核聚变模拟等领域的研究数据。
VPN成突破口:最普通的攻击路径
网络安全研究员Marc Hofer向CNN透露了技术细节。他通过Telegram直接联系到 alleged 攻击者,确认入侵始于一个被攻破的VPN域名。
VPN(虚拟专用网络)本应是远程访问的安全通道,却成了最薄弱的环节。攻击者获取权限后,部署了一套自动化程序——也就是所谓的"僵尸网络"(Botnet)。这套程序被设定为静默运行:自动提取、下载、存储数据,同时规避中国网络安全系统的监测。
这种"慢速渗漏"策略牺牲了速度换取隐蔽性。Hofer称,黑客用了六个多月才完成10PB的数据转移。作为对比,2017年Equifax泄露1.4亿美国人信息用了约两个月;2013年雅虎30亿账户泄露是多年累积的结果。单就持续时间和数据量而言,这次攻击的耐心程度相当罕见。
超算中心的数据架构或许为这种操作提供了便利。超级计算机通常采用并行存储系统,数据分散在数千个节点上。攻击者不需要一次性突破整个系统,只需在VPN入口建立据点,然后像用吸管喝泳池水一样,逐节点缓慢抽取。
6000家客户:一张难以追溯的责任网
天津中心的客户名单读起来像一份中国高端制造业目录。中国商飞正在用这里的算力模拟C919客机的空气动力学性能;国防科技大学是"天河"系列超算的娘家;航空工业集团则涉及更多不便公开的项目。
这种共享算力模式是超算中心的常态。一台超级计算机的建设成本动辄数十亿元,不可能为单一机构独享。但6000家客户的接入也意味着6000个潜在的攻击面——每家机构的终端设备、员工账号、外包团队都可能成为跳板。
目前没有任何机构承认自己是数据源头。中国商飞、国防科技大学、航空工业集团均未回应CNN的置评请求。天津中心本身也保持沉默。这种集体缄默让事件更显诡异:如果10PB数据属实,受害者理应察觉异常流量;如果数据量被夸大,黑客又为何能拿出经研究人员验证的样本?
数据黑市的定价逻辑也值得玩味。几千美元的"预览价"和数十万美元的"完整版"之间,差距超过100倍。这种阶梯定价暗示黑客对市场分层有清晰认知:国防承包商可能为特定文件买单,加密货币鲸鱼或许想整盘吃下,而媒体和安全研究者只配看片段。定价本身成了一种筛选机制。
超算安全的结构性困境
这不是中国超算中心第一次遭遇安全质疑。2024年,美国商务部将多家中国超算实体列入出口管制清单,理由是"支持军事现代化"。当时有分析认为,制裁会倒逼中国发展自主技术栈,反而增强安全性。但此次事件暴露的问题更基础:再强的国产芯片和操作系统,也防不住VPN配置失误或内部人员疏漏。
超算的安全模型本质上与云计算不同。公有云服务商(如AWS、阿里云)默认假设客户数据需要隔离,架构设计从第一天就考虑多租户防护。而传统超算中心诞生于科研协作文化,数据共享的便利性往往优先于隔离的严谨性。当6000家机构共用同一套存储网络时,"内网即信任"的假设就成了定时炸弹。
攻击者的选择也颇具象征意义。没有攻击金融系统,没有勒索医院,而是盯上了算力基础设施——这相当于数字时代的"劫粮仓"。超算中心不直接产生经济收益,但支撑着从飞机设计到核模拟的关键研发。窃取这些数据,既能变现,也能削弱长期竞争力。
中国网络安全法的处罚力度在全球属于最严一档。2021年修订的《数据安全法》规定,核心数据泄露最高可罚1000万元并追究刑事责任。但法律威慑对境外黑客效果有限,对已经发生的泄露更是于事无补。目前尚无迹象表明攻击者身份或所在位置已被锁定。
验证困境:当证据本身成为商品
网络安全研究社区对此次事件的态度颇为微妙。多位研究者确认了样本数据的真实性,但"真实"不等于"完整"。10PB的总量目前只有黑客的一面之词,没有独立审计。
这种信息不对称是数据泄露市场的常态。2016年,黑客"Peace"声称出售LinkedIn 1.67亿条记录,买家只能先付小额定金验证样本;2022年,Lapsus$团伙用类似手法勒索英伟达、三星等企业。天津事件的特殊之处在于,攻击对象涉及国家机密,而验证者多是西方安全研究者——他们的结论在中国语境下天然带有政治敏感性。
Marc Hofer的角色同样微妙。作为向CNN透露细节的信源,他既是技术验证者,也是事件传播者。通过Telegram与黑客直接对话,在获取一手信息的同时,也可能无意中成为对方营销链条的一环。黑客需要可信度来抬价,而研究者的背书恰好提供了这种可信度。
中国官方至今未正式回应此事。国家互联网应急中心(CNCERT)的公开通报中,2026年2月没有任何涉及超算中心的安全事件。这种沉默可能意味着几种情况:调查仍在进行不便公开;数据规模被夸大不值得高调回应;或者事件敏感性超出常规通报框架。
10PB数据现在何处?按照黑客的说法,它们被分散存储在多个加密货币支付保护的节点上。买家获得的不是实体硬盘,而是解密密钥和访问路径。这种架构让数据本身难以被物理查封,也让"追回"几乎不可能——除非买家主动泄露,或者密钥管理系统出现漏洞。
对于依赖天津中心算力的6000家机构来说,更紧迫的问题是:自己的数据在不在那10PB之中?如果涉及导弹设计图或核聚变模拟,泄露可能触发国际扩散管控审查;如果只是普通的流体力学计算,商业损失相对可控。但除非购买黑客的"预览包",否则机构本身也无法确定。
超算中心的安全整改将是长期工程。VPN替换为零信任架构、存储系统加装行为审计、客户接入实施最小权限原则——这些措施技术上都可行,但成本和时间投入巨大。更深层的问题是:当"国之重器"需要向数千家机构开放时,安全与便利的边界究竟该划在哪里?
热门跟贴