Цурење би могло бити једно од највећих у забележеној историји, кажу стручњаци за сајбер безбедност, указујући на ризик од прикупљања и складиштења осетљивих личних података на мрежи – посебно у земљама у којима власти имају широк и непроверен приступ тим подацима.

Великој количини кинеских личних података може се јавно приступити преко несигурне повратне везе – пречице на веб адреси која нуди неограничен приступ свима који знају за то – барем од априла 2021. године, према сајту ЛеакИКС. који детектује и индексира изложене базе података на мрежи.

Корисник је тврдио да је базу података прикупила полиција Шангаја и да садржи осетљиве информације о милијарду кинеских држављана, укључујући имена, адресе, бројеве мобилних телефона, националне идентификационе бројеве, године и место рођења, као и милијарде телефонских записа за полицију. да пријави грађанске спорове и кривична дела.

Узорак од 750.000 уноса података из три главна индекса базе података укључен је у поднеске добављача. ЦНН је потврдио аутентичност више од два десетина уноса из узорка који је дао продавац, али није могао да приступи оригиналној бази података.

Шангајска влада и полицијска управа нису одговорили на поновљене захтеве ЦНН-а за коментар.

Продавац је такође рекао да несигурну базу података одржава Алибаба Цлоуд, подружница кинеског гиганта за е-трговину Алибаба. Када га је ЦНН у понедељак контактирао за коментар, Алибаба је рекла да „разматра ово“ и да ће дати свако обавештење. Алибаба је у среду рекла да неће коментарисати.

Али стручњаци ЦНН-а рекли су да је то власник погрешних података, а не компанија која је њима управљала.

„За сада, сигуран сам да ће ово бити највеће цурење информација у јавности – свакако о дубини утицаја Кинаовде говоримо о општој популацији“, рекао је Трој Хант, регионални директор Мајкрософта са седиштем у Аустралији.

Кина је дом за 1,4 милијарде људи, што значи да би кршење података могло да утиче на више од 70 одсто становништва.

“То је мали комад духа који неће моћи да се врати у боцу. Када подаци изађу тамо у облику у коме сада изгледају, неће бити повратка”, рекао је Хант.

Нејасно је колико је људи приступило или преузело базу података у 14 или више месеци колико је доступно јавности на мрежи. Два западна стручњака за сајбер безбједност која су разговарала са ЦНН-ом била су свјесна базе података прије него што је пуштена у жижу јавности прошле седмице, што указује да је могу лако пронаћи људи који знају гдје да траже.

Вини Троја, истраживач сајбер безбедности и оснивач фирме за обавештајну делатност мрачног веба Схадовбите, рекао је да је први открио базу података „око јануара“ док је тражио отворену базу података на мрежи.

„Сајт је јавно пронађен, свако (може) да му приступи, само морате да региструјете налог“, рекао је Троја. „Од када је покренут у априлу 2021., мало људи је могло да преузме податке“, рекао је он.

Троја је рекао да је преузео један од главних индекса базе података, који изгледа да садржи информације о скоро 970 милиона кинеских грађана. Међутим, тешко је проценити да ли је такав отворени приступ под надзором власника базе података, или су пречице намењене да се покажу неким људима, рекао је он.

„Или су заборавили на њу, или су је намерно отворили јер је било лакше приступити“, рекао је он, показујући на надлежне за базу података. „Не знам зашто су. Звучи веома немарно.

Несигурни лични подаци – који се откривају кроз цурење, кршење или неки облик некомпетентности – чест су проблем са којим се суочавају компаније и владе широм света, а стручњаци за сајбер безбедност кажу да није неуобичајено пронаћи базе података отворене за јавни приступ. .

Триоа је 2018. открио да је маркетиншка компанија са седиштем у Флориди отворила скоро 2 ТБ видљивих података укључујући личне податке о стотинама милиона одраслих Американаца на јавно доступним серверима, према Кабл.
Године 2019., Виктор Геверс, холандски истраживач сајбер безбедности, открио је онлајн базу података која садржи имена, матичне бројеве, датуме рођења и податке о локацији више од 2,5 милиона људи у региону Синђанг у западној Кини, која је месецима била незаштићена. од стране Кинеза. стварно СенсеНетс Тецхнологи, према Реутерс.

Али најновије цурење података посебно је забрињавајуће, кажу истраживачи сајбер безбедности, не само због невиђеног обима, већ и због осетљиве природе доступних информација.

ЦНН-ова анализа узорка базе података пронашла је полицијске евиденције случајева који обухватају скоро две деценије од 2001. до 2019. Иако су већина тих уноса били грађански спорови, постојали су и записи о кривичним случајевима у распону од преваре до силовања.

У једном случају, становнике Шангаја је полиција позвала 2018. због коришћења виртуелне приватне мреже (ВПН) да заобиђу кинески заштитни зид и приступе Твитеру, наводно ретвитујући „реакционарне коментаре који укључују партијске, политичке и (комунистичке) лидере.

С друге стране, мајка је позвала полицију 2010. године, тврдећи да је њен свекар силовао њену трогодишњу ћерку.

„Могло би бити насиља у породици, злостављања деце, разних ствари, што ме још више брине“, рекао је Хант, регионални директор Мајкрософта.

„Да ли би ово могло да доведе до изнуде? Често видимо изнуђивање појединаца након цурења података, пример где би хакери чак могли да покушају да изнуде појединце.“

Кинеска влада је недавно уложила напоре да побољша заштиту приватности онлајн корисничких података. Прошле године, земља донео први Закон о заштити података о личности, постављајући основна правила о томе како лични подаци треба да се прикупљају, користе и чувају. Али стручњаци имају изазвала забринутост да иако закон може да регулише технолошке компаније, може бити изазов за спровођење када се примењује на кинеску државу.

Боб Дијаченко, истраживач безбедности са седиштем у Украјини, први је пут дошао у базу података у априлу. Средином јуна, његова компанија је открила да је базу података напао непознати злонамерни актер, који је уништио и копирао податке и оставио запис о откупнини захтевајући 10 биткоина за опоравак, рекао је Дјаченко.

Нејасно је да ли је ово дело исте особе која је прошле недеље рекламирала продају информација из базе података.

До 1. јула записи о откупу су нестали, према Дјаченку, али је било доступно само 7 гигабајта (ГБ) података – уместо оглашених 23 ТБ.

Дијаченко је рекао да сугерише да је откупнина решена, али су власници базе података наставили да користе откривену базу података за складиштење, све док се није затворила током викенда.

„Можда је било неких млађих програмера који су то видели и покушали да избришу запис пре него што је виши менаџмент сазнао“, рекао је он.

Шангајска полиција није одговорила на захтев Си-Ен-Ена за коментар о записнику о откупнини.

Прича је ажурирана додатним дешавањима у среду.

Филип Ванг из ЦНН-а је допринео извештавању.

Leave a Reply

Your email address will not be published.