Un hacker s'est offert dans un forum discussion et actualités sur les violations de données pour vendre qu'est-ce, selon lui, une base de données contenant les enregistrements de plus d'un milliard de civils chinois, prétendument volé à la police de Shanghai.
Et ce n'est que quelques jours les rapports ont commencé à partir d'un message posté sur un forum de Breached.to (le message est actuellement manquant, car il a été supprimé) dans lequel HackerDan proposait de vendre le lot pour 10 bitcoins soit environ 200,000 XNUMX $.
Sur le forum, vous avez posté des exemples de données : l'un contient les adresses de livraison et souvent des instructions pour les chauffeurs ; un autre contient des dossiers de police ; et ce dernier contient des informations personnellement identifiables telles que le nom, le numéro d'identification national, l'adresse, la taille et le sexe.
« En 2022, la base de données de la police nationale de Shanghai (SHGA) a été divulguée. Cette base de données contient plusieurs To de données et d'informations sur des milliards de citoyens chinois. »
La Chine a une force de police nationale, qui a vraisemblablement un bureau à Shanghai. Mais il est difficile de trouver une entité appelée "Shanghai National Police". Cependant, les médias ont pu vérifier que le contenu de l'échantillon, quelle qu'en soit la source, est fiable.
Alors que le gouvernement et le département de police de Shanghai sont restés largement silencieux à propos de la fuite, les plateformes de médias sociaux Weibo et WeChat ne l'ont pas fait, du moins jusqu'à dimanche après-midi, lorsque les utilisateurs de Weibo ont commencé à recevoir des hashtags bloqués liés à la fuite de données.
Déjà en 2020, un universitaire américain a révélé l'existence d'une base de données de 2,4 millions de personnes qui, selon elle, avaient été compilées par une société chinoise connue pour fournir des informations aux agences de renseignement, militaires et de sécurité.
L'enquêteur avait allégué que le but de la base de données était de permettre des opérations d'influence contre des personnes éminentes et influentes en dehors de la Chine.
Le chercheur en sécurité Robert Potter et Balding co ont écrit un article indiquant que cette base de données s'appelle Overseas Key Information Database (OKIDB) et que si la plupart de ces données auraient pu être extraites des médias sociaux ou d'autres sources accessibles au public, 10- 20 % de ces informations ne semblent provenir d'aucun public la source d'information. Les co-auteurs n'excluent pas le piratage comme source de ces données, mais déclarent également qu'ils ne trouvent aucune preuve d'une telle activité.
Quelle que soit la source de la fuite, elle va grandement contrarier la Chine. Le gouvernement du pays a récemment donné la priorité à la protection des données personnelles et à la sécurité des infrastructures critiques. La Chine a adopté une loi qui, selon les autorités, "améliore" les dispositions existantes en matière de protection des données personnelles.
La nouvelle "Loi sur la protection des informations personnelles de la République populaire de Chine" est entrée en vigueur le 1er novembre 2021. Elle se compose de huit chapitres et 74 articles qui établissent des mesures à la fois strictes et vagues sur la manière dont les données collectées et gérées sont traitées, sur les droits des personnes et l'identité du propriétaire final des données. – Cela a été déclaré par l'administration chinoise.
Le PDG de Binance, Zhao Changpeng, a tweeté que les experts en renseignement sur les menaces de son entreprise avaient repéré les affirmations du pirate et ont déclaré que la fuite a probablement été causée par un bogue dans la base de données ElasticSearch, le moteur de recherche utilisé par une agence gouvernementale chinoise.
Le pirate informatique a affirmé que les données avaient été extorquées à Aliyun, un système informatique en nuage et une filiale du groupe Alibaba, qui, selon eux, héberge la base de données de la police de Shanghai.
Bien que l'étendue et l'exactitude de la fuite ne soient pas confirmées, le Wall Street Journal a contacté plusieurs des citoyens dont les données ont été divulguées, dont certains ont vérifié que l'information était, en fait, correcte.
source: https://www.theregister.com