En hacker har hævdet at have skaffet en række personlige oplysninger fra Shanghais politi om en milliard kinesiske borgere, hvilket tech-eksperter siger, hvis det er sandt, ville være et af de største databrud i historien. Den anonyme internetbruger, identificeret som “ChinaDan”, offentliggjorde på hackerforummet Breach Forums i sidste uge og tilbød at sælge de mere end 23 terabyte (TB) data til 10 bitcoin , svarende til omkring $ 200,000.
“I 2022 blev Shanghai National Police (SHGA) database lækket. Denne database indeholder mange TB af data og information om milliarder af kinesiske borgere,” hedder det i opslaget. “Databaser indeholder oplysninger om 1 milliard kinesiske nationale indbyggere og flere milliarder sagsregistre, herunder: navn, adresse, fødested, nationalt ID-nummer, mobilnummer, alle oplysninger om kriminalitet / sag.”
Reuters som er kilden, var ikke i stand til at verificere ægtheden af indlægget.
Shanghais regering og politi reagerede ikke på anmodninger om kommentarer mandag.
Reuters var heller ikke i stand til at nå den selvudråbte hacker, ChinaDan, men indlægget blev diskuteret bredt på Kinas Weibo og WeChat sociale medieplatforme i weekenden med mange brugere, der var bekymrede for, at det kunne være rigtigt.
Hashtagget “datalækage” blev blokeret på Weibo søndag eftermiddag.
Kendra Schaefer, leder af tech policy research hos det Beijing-baserede konsulentfirma Trivium China, siger i et opslag på Twitter, at det er “svært at analysere sandheden fra rygtemøllen”.
Hvis det materiale, hackeren hævdede at have, kom fra ministeriet for offentlig sikkerhed, ville det være dårligt af “en række årsager”, sagde Schaefer.
“Mest oplagt ville det være blandt de største og værste overtrædelser i historien,” sagde hun.
Zhao Changpeng, administrerende direktør for Binance, sagde mandag, at kryptovaluta udvekslingen havde intensiveret brugerverifikationsprocesserne, efter at børsens trusselsefterretninger opdagede salget af optegnelser, der tilhører 1 milliard indbyggere i et asiatisk land på det mørke web.
Han sagde på Twitter, at en lækage kunne være sket på grund af “en fejl i en elastisk søgningsimplementering af et (regerings)agentur” uden at sige, om han henviste til Shanghai politisagen.
Han skrev igen på Twitter senere på dagen og sagde: “tilsyneladende skete denne udnyttelse, fordi gov-udvikleren skrev en teknisk blog på CSDN og ved et uheld inkluderede legitimationsoplysningerne”, med henvisning til China Software Developer Network.
Softwarefirmaet Elastic sagde, at det var forkert at citere det som kilden til overtrædelsen. Shanghais regering reagerede ikke umiddelbart på en anmodning om en kommentar onsdag.
Påstanden om et hack kommer, da Kina har lovet at forbedre beskyttelsen af online brugerdata privatliv og instrueret sine tech-giganter om at sikre sikrere opbevaring efter offentlige klager over dårlig forvaltning og misbrug.
Sidste år vedtog Kina nye love om, hvordan personlige oplysninger og data, der genereres inden for landets grænser, skal håndteres.
“Disse data må have ligget ukrypteret i åben tekst f.eks. i en NOSQL database, for selv om data var stjålet ville de ikke kunne have været åbnet uden korrekte nøgler” siger Michael Rasmussen, ICARE.DK
Kilde: Reuters
Grafik: Creativecommons