Η Κίνα κατέγραψε τη μεγαλύτερη διαρροή βάσεων δεδομένων στην ιστορία με σχεδόν ένα δισεκατομμύριο προσωπικά δεδομένα να βρίσκονται στο διαδίκτυο για περισσότερο από ένα χρόνο.
Η διαρροή θα μπορούσε να είναι μια από τις μεγαλύτερες που έχουν καταγραφεί ποτέ στην ιστορία, λένε ειδικοί στον τομέα της κυβερνοασφάλειας, υπογραμμίζοντας τους κινδύνους συλλογής και αποθήκευσης τεράστιων ποσοτήτων ευαίσθητων προσωπικών δεδομένων στο Διαδίκτυο – ειδικά σε μια χώρα όπου οι αρχές έχουν ευρεία και ανεξέλεγκτη πρόσβαση σε τέτοια δεδομένα, ανέφερε το CNN.
«Όπως είναι σήμερα, πιστεύω ότι αυτή θα ήταν η μεγαλύτερη διαρροή δημόσιας πληροφόρησης μέχρι τώρα — σίγουρα όσον αφορά το εύρος του αντίκτυπου στην Κίνα, μιλάμε για το μεγαλύτερο μέρος του πληθυσμού εδώ», δήλωσε ο Troy Hunt, περιφερειακός της Microsoft. σκηνοθέτης με έδρα την Αυστραλία.
Η ηλεκτρονική βάση δεδομένων περιείχε τα προσωπικά στοιχεία έως και ενός δισεκατομμυρίου Κινέζων πολιτών και έγινε αντιληπτή αφού ένας ανώνυμος χρήστης σε φόρουμ χάκερ προσφέρθηκε να πουλήσει τα δεδομένα την περασμένη εβδομάδα.
Ο ανώνυμος χρήστης διαφήμισε ότι πουλούσε περισσότερα από 23 terabyte (TB) δεδομένων προς πώληση για 10 bitcoin – περίπου 200.000 USD – σε μια ανάρτηση σε φόρουμ χάκερ την περασμένη Πέμπτη.
Ο χρήστης ισχυρίστηκε ότι η βάση δεδομένων συγκεντρώθηκε από την αστυνομία της Σαγκάης και περιείχε ευαίσθητες πληροφορίες για ένα δισεκατομμύριο Κινέζους υπηκόους, συμπεριλαμβανομένων των ονομάτων, των διευθύνσεών τους, των αριθμών κινητών τηλεφώνων, των εθνικών αριθμών ταυτότητας, των ηλικιών και των τόπων γέννησής τους, καθώς και δισεκατομμύρια αρχεία τηλεφωνικών κλήσεων που έγιναν στην αστυνομία. να αναφέρει αστικές διαφορές και εγκλήματα, ανέφερε το CNN.
Το τεράστιο πλήθος των κινεζικών προσωπικών δεδομένων ήταν δημόσια προσβάσιμο μέσω αυτού που φαινόταν να είναι ένας μη ασφαλής σύνδεσμος backdoor – μια διεύθυνση ιστού συντόμευσης που προσφέρει απεριόριστη πρόσβαση σε οποιονδήποτε γνωρίζει – τουλάχιστον από τον Απρίλιο του 2021, σύμφωνα με το LeakIX, έναν ιστότοπο που ανιχνεύει και ευρετηριάζει τις εκτεθειμένες βάσεις δεδομένων στο διαδίκτυο.
Ένα δείγμα 750.000 καταχωρήσεων δεδομένων από τα τρία κύρια ευρετήρια της βάσης δεδομένων συμπεριλήφθηκε στην ανάρτηση του πωλητή.
Εν τω μεταξύ, η κυβέρνηση και το αστυνομικό τμήμα της Σαγκάης δεν απάντησαν στα επανειλημμένα γραπτά αιτήματα του CNN για σχολιασμό.
Ο πωλητής ισχυρίστηκε επίσης ότι η μη ασφαλής βάση δεδομένων φιλοξενήθηκε από την Alibaba Cloud, θυγατρική του κινεζικού κολοσσού ηλεκτρονικού εμπορίου Alibaba.
Η Alibaba είπε “το εξετάζουμε αυτό” και θα κοινοποιήσει τυχόν ενημερώσεις. Την Τετάρτη, η Alibaba είπε ότι αρνήθηκε να σχολιάσει στο CNN.
Η Κίνα φιλοξενεί 1,4 δισεκατομμύρια ανθρώπους, πράγμα που σημαίνει ότι η παραβίαση δεδομένων θα μπορούσε ενδεχομένως να επηρεάσει περισσότερο από το 70 τοις εκατό του πληθυσμού.
Δεν είναι σαφές πόσα άτομα έχουν πρόσβαση ή κατέβασαν τη βάση δεδομένων κατά τους 14 ή περισσότερους μήνες που έμεινε δημόσια διαθέσιμη στο διαδίκτυο.
Τα μη ασφαλή προσωπικά δεδομένα – που εκτίθενται μέσω διαρροών, παραβιάσεων ή κάποιας μορφής ανικανότητας – είναι ένα όλο και πιο κοινό πρόβλημα που αντιμετωπίζουν εταιρείες και κυβερνήσεις σε όλο τον κόσμο και οι ειδικοί στον κυβερνοχώρο λένε ότι δεν είναι ασυνήθιστο να βρίσκουμε βάσεις δεδομένων που είναι ανοιχτές για πρόσβαση στο κοινό.
Η τελευταία διαρροή δεδομένων είναι ιδιαίτερα ανησυχητική, λένε οι ερευνητές στον τομέα της κυβερνοασφάλειας, όχι μόνο λόγω του δυνητικά πρωτοφανούς όγκου της, αλλά και της ευαίσθητης φύσης των πληροφοριών που περιέχονται.
Μια ανάλυση του CNN του δείγματος της βάσης δεδομένων βρήκε αστυνομικά αρχεία υποθέσεων που εκτείνονται σχεδόν δύο δεκαετίες από το 2001 έως το 2019. Ενώ η πλειονότητα των καταχωρίσεων είναι αστικές διαφορές, υπάρχουν επίσης αρχεία ποινικών υποθέσεων που κυμαίνονται από απάτη έως βιασμό.
Σε μία περίπτωση, ένας κάτοικος της Σαγκάης κλήθηκε από την αστυνομία το 2018 επειδή χρησιμοποίησε ένα εικονικό ιδιωτικό δίκτυο (VPN) για να αποφύγει το τείχος προστασίας της Κίνας και να αποκτήσει πρόσβαση στο Twitter, φέρεται να έκανε retweet «αντιδραστικά σχόλια που αφορούσαν το (Κομμουνιστικό) Κόμμα, την πολιτική και τους ηγέτες».
Σε άλλο αρχείο, μια μητέρα κάλεσε την αστυνομία το 2010, κατηγορώντας τον πεθερό της ότι βίασε την 3χρονη κόρη της.
Η κινεζική κυβέρνηση έχει πρόσφατα εντείνει τις προσπάθειες για τη βελτίωση της προστασίας του απορρήτου των δεδομένων των χρηστών στο διαδίκτυο. Πέρυσι, η χώρα ψήφισε τον πρώτο Νόμο για την Προστασία Προσωπικών Πληροφοριών, ο οποίος θέτει βασικούς κανόνες σχετικά με τον τρόπο συλλογής, χρήσης και αποθήκευσης προσωπικών δεδομένων.
Ωστόσο, οι ειδικοί έχουν εκφράσει ανησυχίες ότι, ενώ ο νόμος μπορεί να ρυθμίσει τις εταιρείες τεχνολογίας, θα μπορούσε να είναι δύσκολο να επιβληθεί όταν εφαρμόζεται στο κινεζικό κράτος, ανέφερε το CNN.