Vụ **rò rỉ dữ liệu** lịch sử đã vạch trần cơ sở hạ tầng kiểm duyệt của Trung Quốc, với hơn 500 gigabyte dữ liệu nội bộ bị lộ từ các công ty hạ tầng Trung Quốc liên quan đến Great Firewall (GFW) vào tháng 9 năm 2025. Các nhà nghiên cứu ước tính tổng dung lượng rò rỉ có thể lên tới khoảng 600 GB, với riêng một tệp lưu trữ đã chiếm khoảng 500 GB.

Quy mô và Bản chất của Vụ Rò rỉ Dữ liệu

Tài liệu bị lộ bao gồm hơn 100.000 tài liệu, mã nguồn nội bộ, nhật ký làm việc, tệp cấu hình, email, hướng dẫn kỹ thuật và các tài liệu vận hành.

Các Loại Tài liệu Bị Lộ Chi tiết

• Hơn 100.000 tài liệu
• Mã nguồn nội bộ
• Nhật ký làm việc
• Tệp cấu hình
• Email
• Hướng dẫn kỹ thuật
• Sách hướng dẫn vận hành (operational runbooks)

Thông tin Kỹ thuật Quan trọng trong Dữ liệu Rò rỉ

Trong số các hiện vật được tiết lộ, có các tệp máy chủ đóng gói RPM, hạ tầng đóng gói được sử dụng để phân phối các thành phần phần mềm. Dữ liệu quản lý dự án từ Jira và Confluence cũng xuất hiện, hiển thị các phiếu ghi nội bộ, yêu cầu tính năng, báo cáo lỗi và lịch sử triển khai.

Các tài liệu kỹ thuật và thông tin liên lạc cho thấy cách thức các công cụ kiểm duyệt được thử nghiệm chống lại VPN, Tor và các phương pháp vượt tường lửa khác. Các phương pháp này bao gồm kiểm tra sâu gói (DPI), nhận dạng dấu vân tay SSL và logic lọc.

Hồ sơ triển khai chỉ ra việc sử dụng trong nước tại các tỉnh như Tân Cương, Phúc Kiến, và Giang Tô. Đồng thời, nó cũng cho thấy việc xuất khẩu các hệ thống kiểm duyệt hoặc giám sát sang các quốc gia khác, bao gồm Myanmar, Pakistan, Ethiopia và Kazakhstan.

Cấu trúc Dữ liệu Chi tiết về Giám sát Kỹ thuật số

Bộ dữ liệu này là một kho lưu trữ rộng lớn, đa diện, phơi bày cơ sở kỹ thuật của chế độ giám sát kỹ thuật số của Trung Quốc.

Nó bao gồm các nhật ký truy cập IP thô từ các nhà cung cấp viễn thông nhà nước như China Telecom, China Unicom và China Mobile. Các nhật ký này tiết lộ việc giám sát lưu lượng thời gian thực và tương tác điểm cuối.

Các gói tin bị bắt (PCAPs) và bảng định tuyến được ghép nối với dữ liệu xuất từ các ‘blackhole sinkhole’. Điều này cho thấy chi tiết cách thức lưu lượng bị chặn, chuyển hướng hoặc tự động loại bỏ (dropped) một cách im lặng.

Một kho lớn các bảng tính Excel liệt kê các địa chỉ IP VPN đã biết, mẫu truy vấn DNS, dấu vân tay chứng chỉ SSL và các chữ ký hành vi của dịch vụ proxy. Điều này cung cấp cái nhìn sâu sắc về các thuật toán nhận dạng và chặn.

Các sơ đồ Visio vạch ra kiến trúc tường lửa nội bộ, từ triển khai phần cứng đến các chuỗi thực thi logic trải rộng khắp các bộ ngành và tỉnh. Các nhật ký cấp ứng dụng phân tích các công cụ như Psiphon, V2Ray, Shadowsocks và cổng proxy doanh nghiệp, ghi lại cách chúng được thử nghiệm, nhận dạng dấu vân tay và điều chỉnh băng thông.

Bộ dữ liệu cũng chứa các cơ sở dữ liệu về tên miền đủ điều kiện (FQDNs), chuỗi SNI, dữ liệu từ xa của ứng dụng (application telemetry) và các “sketch logs” hiển thị dữ liệu hành vi đã được tuần tự hóa được cạo từ các ứng dụng di động.

Dữ liệu xuất từ việc giám sát cấp hệ thống tiết lộ mức sử dụng CPU máy chủ, mức sử dụng bộ nhớ, nhật ký phiên luồng và trạng thái người dùng theo thời gian thực. Đặc biệt, metadata bị rò rỉ từ các tệp Word, Excel và PowerPoint phơi bày tên người dùng, các liên kết tổ chức và lịch sử chỉnh sửa của các kỹ sư và quan chức làm việc trên cơ sở hạ tầng kiểm duyệt.

Cuối cùng, các ảnh chụp màn hình được xử lý bằng OCR minh họa các bảng điều khiển giao diện người dùng của các bảng điều khiển kiểm soát lưu lượng, cơ chế ghi nhật ký và các công cụ nội bộ, cung cấp cái nhìn trực quan về cách Great Firewall được vận hành trong thực tế.

Phân tích Cấu trúc Tổ chức của Great Firewall

Ngoài các bằng chứng kỹ thuật về kiểm duyệt và thao túng lưu lượng, bộ **dữ liệu rò rỉ** này mang lại cơ hội hiếm có để xây dựng bản đồ xã hội-kỹ thuật của bộ máy Great Firewall. Nó không chỉ tiết lộ cách thức hoạt động mà còn cả những người xây dựng, duy trì nó và cách hệ sinh thái kiểm duyệt của Trung Quốc được phân chia tổ chức.

Metadata được trích xuất từ hơn 7.000 tài liệu, bảng tính, bản đồ mạng Visio, nhật ký văn bản, bảng điều khiển và tệp cấu hình phần mềm tiết lộ một mạng lưới phức tạp gồm các thực thể liên kết với nhà nước hoạt động trong các silo được kiểm soát chặt chẽ.

Các Đối tác và Vai trò trong Hệ thống

Kiến trúc nội bộ của Great Firewall được hỗ trợ bởi một mạng lưới các tổ chức, từ các doanh nghiệp nhà nước đến các viện nghiên cứu hàng đầu và các nhà cung cấp khu vực tư nhân.

• Các ISP Nhà nước: China Telecom, China Unicom và China Mobile đảm nhận trách nhiệm giám sát và thực thi lưu lượng cốt lõi. Cơ sở hạ tầng của họ xuất hiện nhiều lần trong nhật ký PCAP, sổ đăng ký IP và dữ liệu từ xa cấp hệ thống. Metadata từ sơ đồ Visio và các script quét liên kết các hoạt động thực thi khu vực với các chi nhánh cấp tỉnh, cho thấy các tế bào hoạt động phi tập trung.
• Cộng đồng Học thuật và Nghiên cứu: Các đóng góp từ Viện Khoa học Trung Quốc, CNCERT, Đại học Thanh Hoa và USTC được cho là có liên quan đến mô hình hóa lưu lượng, nhận dạng dấu vân tay VPN và phát hiện SNI thuật toán, hoạt động trong một chu trình từ khoa học đến chính sách.
• Các Nhà cung cấp Khu vực Tư nhân: Các thực thể bổ sung như Huaxin, Venustech và Topsec, được cho là có mối liên hệ với Bộ An ninh Nhà nước (MSS), chịu trách nhiệm phát triển phần cứng kiểm tra gói, cổng thông minh và giao diện điều khiển mô-đun.

Các tệp cấu trúc hệ thống gợi ý các trung tâm khu vực dưới sự kiểm soát của tỉnh, với metadata chỉ ra một mô hình lệnh phân cấp: các tác giả quy tắc trung tâm ở Bắc Kinh và các nhà điều hành địa phương quản lý các gián đoạn và thiết lập lại.

Kiến trúc Kỹ thuật và Cơ chế Kiểm duyệt Nâng cao

Bộ **dữ liệu rò rỉ** phơi bày một kiến trúc kiểm duyệt có tính mô-đun cao và tích hợp sâu sắc bên dưới Great Firewall của Trung Quốc. Thay vì hoạt động như một bộ lọc tập trung duy nhất, GFW được tiết lộ là một hệ thống giám sát và kiểm soát phân tán trải dài các lớp mạng quốc gia, khu vực và địa phương.

Cơ chế Chặn và Phân loại Lưu lượng

Tại cốt lõi của việc chặn lưu lượng là các ISP do nhà nước điều hành, đóng vai trò vừa là nhà cung cấp dịch vụ vừa là trung gian giám sát. Nhật ký từ các nhà cung cấp này ghi lại việc chặn và phân loại lưu lượng dựa trên nội dung gói, với việc sử dụng các kỹ thuật kiểm tra sâu gói.

Các kỹ thuật này nhắm mục tiêu vào metadata phiên TLS/HTTPS, chẳng hạn như các trường Server Name Indication (SNI), và phân biệt các kết nối có khả năng đáng ngờ dựa trên các bất thường giao thức, bao gồm entropy, các mẫu thời gian và cấu trúc tải trọng. Cơ sở hạ tầng hỗ trợ phát hiện các công cụ vượt tường lửa đã biết như Shadowsocks, V2Ray và Psiphon.

Phân tích Cấp Độ Ứng Dụng và Thuật toán

Phân tích cấp ứng dụng được thực hiện bằng cách sử dụng các thuật toán nhận dạng dấu vân tay được suy ra từ cả đặc điểm mạng thô và mô hình hóa hành vi. Nhiều bảng tính Excel và dữ liệu xuất từ hệ thống telemetry bao gồm các tham chiếu đến các quy tắc nhận dạng dấu vân tay TLS, bộ phân loại heuristic cho lưu lượng VPN/proxy và các mô hình thống kê được sử dụng để gắn cờ các đường hầm được mã hóa.

Các phân tích này dựa trên cơ sở dữ liệu về các mẫu SNI, hành vi bắt tay và hồ sơ khối lượng lưu lượng. Điều này tiết lộ một cách tiếp cận phát hiện nhiều lớp, với các mô-đun khác nhau chuyên về các mức độ chi tiết và khả năng lẩn tránh khác nhau.

Tác động và Hậu quả Chiến lược của Vụ Rò rỉ Dữ liệu

Vụ **rò rỉ dữ liệu** khổng lồ này từ cơ sở hạ tầng kiểm duyệt của Trung Quốc là một trong những vụ tiết lộ có ý nghĩa nhất trong lịch sử chủ nghĩa độc tài kỹ thuật số. Bao gồm hơn 7.000 tệp, bộ dữ liệu cung cấp không chỉ một cái nhìn đơn lẻ mà là một cái nhìn đa chiều, xuyên suốt về cấu trúc hoạt động của Great Firewall, tiết lộ dữ liệu từ xa hệ thống, luồng logic, phiên người dùng, metadata tài liệu, phân tích ứng dụng và sơ đồ mạng.

Về mặt kỹ thuật, vụ rò rỉ đã khiến nhiều vũ khí phát hiện của Trung Quốc trở nên lỗi thời. Các thuật toán heuristic VPN, bộ quy tắc DPI, thuật toán nhận dạng dấu vân tay dựa trên SNI và bộ phân loại proxy ứng dụng hiện đã mở để xem xét, tái tạo và vượt qua. Điều này đặt ra một **mối đe dọa mạng** đáng kể cho hiệu quả của GFW.

Về mặt vận hành, tên người dùng, tên máy chủ và dữ liệu quyền tác giả tệp có nguy cơ làm lộ các nhà thầu chính phủ, kỹ sư viễn thông và nhà nghiên cứu. Điều này làm tăng khả năng họ bị bêu xấu, bị trừng phạt có mục tiêu hoặc bị lợi dụng bởi các dịch vụ tình báo đối thủ.

Tài liệu về cơ sở hạ tầng bị lỗi, chẳng hạn như mất gói dưới tải quét, các quy tắc ‘sinkhole’ lặp đi lặp lại và các bất thường trạng thái phiên, tạo ra những cơ hội chín muồi cho việc khai thác của đối thủ. Đối với các chuyên gia **an ninh mạng**, đây là một nguồn tài nguyên quý giá để hiểu sâu hơn về cơ chế phòng thủ.

Về mặt chiến lược, bộ dữ liệu này trang bị cho các cộng đồng vượt kiểm duyệt, những người ủng hộ chính sách và các đội đỏ khả năng mô phỏng và kỹ thuật đảo ngược logic thực thi, làm suy yếu hiệu quả của kiểm soát tập trung. Tóm lại, vụ vi phạm này làm sụp đổ sự bất đối xứng giữa người kiểm duyệt và người bị kiểm duyệt, lần đầu tiên cung cấp một bản thiết kế chi tiết về Leviathan giám sát kỹ thuật số của Trung Quốc. Đây không chỉ là một vụ **rò rỉ dữ liệu** kỹ thuật; đây là một sự bóc trần hiếm hoi về những người đứng sau chính sách.