Pentru aproximativ 200.000 de dolari, o persoană sau un grup neidentificat oferă datele a un miliard de cetățeni chinezi. O analiză părea să arate că datele sunt autentice, scrie New Tork Times
În ceea ce ar putea fi una dintre cele mai mari scurgeri cunoscute ale datelor personale din China, un hacker s-a oferit să vândă o bază de date a poliției din Shanghai care ar putea conține informații despre probabil un miliard de cetățeni chinezi.
Hackerul neidentificat, care poartă numele de ChinaDan, a postat săptămâna trecută într-un forum online că baza de date de vânzare includea terabytes de informații despre un miliard de chinezi. Amploarea scurgerii nu a putut fi verificată. New York Times a confirmat părți dintr-un eșantion de 750.000 de înregistrări pe care hackerul le-a lansat pentru a dovedi autenticitatea datelor.
Hackerul, care s-a alăturat forumului online luna trecută, vinde datele pentru 10 Bitcoin, sau aproximativ 200.000 de dolari. Individul sau grupul nu a oferit detalii despre modul în care au fost obținute datele. The Times a contactat hackerul, dar nu a primit imediat un răspuns.
Oferta hackerului pentru baza de date a poliției din Shanghai evidențiază o dihotomie în China: deși țara a fost în fruntea colectării de mase de informații despre cetățenii săi, a avut mai puțin succes în securizarea și protejarea acestor date.
De-a lungul anilor, autoritățile din China au devenit experte în acumularea de informații digitale și biologice despre activitățile zilnice ale oamenilor și conexiunile sociale. Ei analizează postările de pe rețelele de socializare, colectează date biometrice, urmăresc telefoanele, înregistrează videoclipuri folosind camerele poliției și cercetează ceea ce obțin pentru a găsi modele și aberații. O investigație a NYTimes luna trecută a relevat că apetitul autorităților chineze pentru informațiile obișnuite pentru cetățenii a crescut în ultimii ani.
Dar chiar dacă apetitul Beijingului pentru supraveghere a crescut, autoritățile au părut să lase bazele de date rezultate deschise publicului sau le-au lăsat vulnerabile cu garanții relativ slabe. În ultimii ani, The Times a analizat alte baze de date folosite de poliția din China.
Guvernul Chinei s-a străduit să înăsprească controalele asupra unei industrii de date cu scurgeri care a alimentat frauda pe internet. Cu toate acestea, accentul s-a concentrat adesea pe companiile de tehnologie, în timp ce autoritățile par să fie scutite de reguli și sancțiuni stricte care vizează securizarea informațiilor la firmele de internet.
Yaqiu Wang, cercetător senior în China la Human Rights Watch, a declarat că dacă guvernul nu protejează datele cetățenilor săi, nu există consecințe. În legislația chineză, „nu există niciun mecanism care să tragă agențiile guvernamentale responsabile pentru o scurgere de date”, a spus ea.
Anul trecut, de exemplu, Beijingul a luat măsuri împotriva lui Didi, echivalentul Uber din China, după efortul său de listare la Bursa de Valori din New York, invocând riscul ca informațiile personale sensibile să fie expuse.
Dar atunci când autoritățile locale din provincia chineză Henan au folosit greșit datele dintr-o aplicație Covid-19 pentru a bloca protestatarii luna trecută, oficialii au fost în mare măsură scutiți de sancțiuni severe.
În ciuda acestui fapt, publicul din China își exprimă adesea încrederea în gestionarea datelor de către autorități și, de obicei, consideră companiile private mai puțin demne de încredere. Scurgerile guvernamentale sunt adesea cenzurate. Știrile despre încălcarea poliției din Shanghai au fost, de asemenea, cenzurate în mare parte, mass-media de stat din China ne raportând acest lucru.
„În acest caz poliției din Shanghai, cine ar trebui să investigheze?” a spus doamna Wang de la Human Rights Watch. „Este chiar poliția din Shanghai”.
În postarea online a hackerului, au fost furnizate mostre din baza de date din Shanghai. Într-un eșantion, au fost incluse informațiile personale ale a 250.000 de cetățeni chinezi - cum ar fi numele, sexul, adresa, numărul de identitate emis de guvern și anul nașterii. În unele cazuri, s-au putut găsi, de asemenea, profesia, starea civilă, etnia și nivelul de educație ale indivizilor, precum și dacă persoana a fost etichetată drept „ persoană cheie ” de către Ministerul Securității Publice din țară.
Un alt set de eșantion a inclus dosarele poliției, care au inclus înregistrări ale infracțiunilor raportate, precum și informații personale, cum ar fi numere de telefon și acte de identitate. Cazurile datează din 1997 până în 2019. Celălalt set de eșantion conținea informații care păreau a fi numere și adrese parțiale de telefon mobil ale persoanelor.
Când un reporter al Times a sunat numerele de telefon ale persoanelor ale căror informații se aflau în eșantionul de date din dosarele poliției, patru persoane au confirmat detaliile. Alți patru și-au confirmat numele înainte de a închide. Niciuna dintre persoanele contactate nu a spus că avea cunoștințe anterioare despre scurgerea de date.
Într-un caz, datele furnizau numele unui bărbat și spuneau că, în 2019, acesta a sesizat poliției o înșelătorie în care a plătit aproximativ 400 de dolari pentru țigări care s-au dovedit a fi mucegăite. Individul, contactat telefonic, a confirmat detaliile descrise în datele scurse.
Biroul de securitate publică din Shanghai a refuzat să răspundă la întrebările despre afirmația hackerului. Apelurile către Administrația de Securitate Cibernetică din China au rămas fără răspuns marți.
Pe platformele de socializare din China, precum Weibo și aplicația de comunicare WeChat, postările, articolele și hashtag-urile despre scurgerea de date au fost eliminate. Pe Weibo, conturile utilizatorilor care au postat sau distribuit informații conexe au fost suspendate, iar alții care au vorbit despre asta au spus online că li s-a cerut să viziteze secția de poliție pentru o conversație.
