Les censeurs chinois font des heures supplmentaires pour rprimer les informations selon lesquelles les donnes qu’ils ont siphonnes leurs citoyens au fil des ans sont apparemment disponibles et sont vendues un prix infrieur au cot prvu d’un Tesla Roadster. Lundi, des rapports ont montr qu’un pirate identifi uniquement comme « ChinaDan » a dclar aux membres du site de pirates Breach Forums qu’il avait acquis 23 traoctets de donnes sur 1 milliard de citoyens chinois. Ce sont des donnes dont il est prt se sparer pour le bon prix. Combien valent les donnes personnelles de 1 milliard de personnes ? Apparemment, seulement 10 bitcoins, soit environ 200 000 $.
Un hacker non identifi vend plusieurs bases de donnes qui, selon lui, contiennent plus de 22 traoctets d’informations voles sur environ 1 milliard de citoyens chinois pour 10 bitcoins. L’annonce a t publie sur un forum de hackers par une personne utilisant le pseudo « ChinaDan », affirmant que les informations avaient fuit de la base de donnes de la police nationale de Shanghai (SHGA).
Sur la base des informations qu’il a partag concernant les donnes prtendument voles, les bases de donnes contiennent les noms, adresses, numros d’identification nationaux, numros d’informations de contact et plusieurs milliards de casiers judiciaires des rsidents nationaux chinois.
ChinaDan a galement partag un chantillon de 750 000 enregistrements contenant des informations de livraison, des informations d’identification et des enregistrements d’appels de la police. Ces enregistrements permettraient aux acheteurs intresss de vrifier que les donnes vendre ne sont pas fausses.
En 2022, la base de donnes de la police nationale de Shanghai (SHGA) a fuit. Cette base de donnes contient de nombreux To de donnes et d’informations sur des milliards de citoyens chinois , a dclar l’individu dans son message la semaine dernire. Les bases de donnes contiennent des informations sur 1 milliard de rsidents nationaux chinois et plusieurs milliards d’enregistrements de cas, notamment*: nom, adresse, lieu de naissance, numro d’identification national, numro de tlphone portable, dtails de tous les crimes / cas .
L’individu a confirm que les donnes avaient t exfiltres d’un cloud priv local fourni par Aliyun (Alibaba Cloud), qui fait partie du rseau de la police chinoise (alias rseau de scurit publique).
Dimanche, le PDG de Binance, Zhao Changpeng, a confirm que les experts en renseignement sur les menaces de son entreprise avaient repr les affirmations de ChinaDan et a dclar que la fuite tait probablement due une base de donnes ElasticSearch qu’une agence gouvernementale chinoise a accidentellement expose en ligne.
*Nos informations sur les menaces ont dtect 1*milliard d’enregistrements de rsidents vendre sur le dark*Web, y compris le nom, l’adresse, la carte d’identit nationale, le numro de tlphone mobile, les dossiers de police et mdicaux d’un pays asiatique. Probablement en raison d’un bogue dans un dploiement d’Elastic Search par une agence gouvernementale , a dclar Zhao. Cela a un impact sur les mesures de dtection/prvention des pirates, les numros mobiles utiliss pour les prises de contrle de compte, etc.
Zhao a ajout plus tard qu’apparemment, cet exploit s’est produit parce que le dveloppeur gouvernemental a crit un blog technique sur CSDN et a accidentellement inclus les informations d’identification .
La journaliste du Wall Street Journal, Karen Hao, a contact des dizaines de personnes dont les donnes auraient t voles suite la violation et a dclar que certaines d’entre elles avaient confirm toutes les informations disponibles dans l’chantillon divulgu. ce stade, il est impossible de confirmer l’ampleur de la fuite de donnes, mais cinq des personnes dont les donnes ont t rcupr ont confirm tous les dtails des informations associes leur nom – des informations qu’il serait difficile d’obtenir d’une source autre que la police , a dclar Hao. Les quatre autres ont confirm des informations de base comme leurs noms avant de raccrocher .
La raction du gouvernement
La fuite a suscit pas mal de critiques parmi lesquelles celles qui estiment que le nombre de personnes affect est probablement exagre, d’autant plus que le nombre total de cette base de donnes de la police de Shanghai ne serait que de 400 millions de moins que la population totale de toute la Chine, 1,4 milliard.
Le gouvernement chinois n’a fait aucune mention officielle du piratage aux journalistes, la tlvision ou en ligne. D’autres rapports ont montr quel point Pkin ne veut pas que ses citoyens parlent de la violation. Le Financial Times a rapport que les censeurs du gouvernement ont supprim des publications sur les rseaux sociaux chinois qui osaient mme mentionner la fuite prsume.
FT a crit que Weibo, essentiellement la version chinoise de Twitter, et WeChat censuraient dj toute mention de hashtags contenant fuite de donnes ou violation de base de donnes . Les censeurs ont bloqu les publications existantes et auraient mme demand au moins un individu avec une grande communaut (de nombreux abonns) de se prsenter pour un interrogatoire. Le NYT a rapport que les mdias d’tat chinois ont t muets sur les nouvelles du piratage.
Le pirate a crit que les donnes provenaient de la socit d’informatique cloud Aliyun qui, selon eux, hberge la base de donnes de la police de Shanghai.
Le New York Times a pu confirmer la vracit de l’chantillon original contenant les informations personnelles de 250 000 citoyens. Les journalistes ont appel des personnes rpertories dans la base de donnes qui ont apparemment confirm qui elles taient et tous les rapports de police antrieurs qu’elles auraient dposs – qui incluaient galement si une personne tait qualifie de personne cl par la scurit publique, ce qui facilite le signalement de ses activits dans l’tat de surveillance plus large du pays.
Le Wall Street Journal a galement appel quelques-uns des noms et numros contenus dans l’chantillon plus large de 750 000, o cinq de ces personnes ont galement confirm que des donnes seraient difficiles obtenir si elles n’taient pas recueillies par la police. Certains numros que le Journal a essays n’taient plus valides, bien que les journalistes aient not que les citoyens chinois changeaient souvent leurs numros.
Un homme dans l’ensemble de donnes pirat, qui portait le nom de famille Wei, a dclar au Journal aprs avoir appris que ses informations avaient t divulgues Nous courons tous nus , une expression courante pour les rsidents chinois pour dire qu’ils n’ont aucune vie prive.
Si les affirmations de ChinaDan s’avrent exactes, il s’agirait de la violation de donnes la plus importante qui ait jamais touche par la Chine et l’une des plus importantes de l’histoire. 2022 s’est dj avre une grande anne pour les violations de donnes dans les entreprises multinationales ainsi que les gouvernements.
Sources : Financial Times, PDG Binance, NYT
Et vous
Son affirmation selon laquelle il dtient des informations sur un milliard de citoyens obtenues sur une base de donnes de la police vous semble-t-elle crdible ou exagre ? Dans quelle mesure ?
Quelles implications potentielles voyez-vous en fonction du type de profil dispos racheter les informations (cybercriminels, pays adversaires , etc.) ?
Voir aussi :