Les données privées d’un milliard de citoyens chinois ont été brièvement mises en vente sur un forum de piratage, ce qui représenterait la plus grande fuite de données personnelles de l’histoire. Le message proposant la base de données à vendre semble avoir été supprimé des pages du forum Breach, ce qui pourrait suggérer qu’il était complètement faux ou dangereusement vrai.
Les fichiers auraient été extraits des archives de la police nationale de Shanghai et, en plus de contenir les informations personnelles d’un milliard d’habitants, ils contenaient également plusieurs milliards de dossiers individuels.
Selon le message original, archivé par HotHardware (s’ouvre dans un nouvel onglet)les données comprenaient les noms, adresses, anniversaires, numéros d’identification de ces personnes, les détails de toute activité criminelle et leurs numéros de téléphone.
Ce dernier est une preuve potentielle importante de la véracité des données proposées. Deux Wall Street Journal (s’ouvre dans un nouvel onglet) Les écrivains, Karen Hao et Rachel Liang, ont passé du temps à appeler des ressortissants chinois répertoriés dans un échantillon de téléchargement de 750 000 enregistrements que le pirate a mis en place sur le forum comme preuve. Les journalistes ont téléchargé l’échantillon et ont appelé un tas de numéros de téléphone en s’attendant à ce qu’ils soient faux.
« Nous courons tous nus », a déclaré l’une des victimes lorsqu’elle a été appelée et confrontée à la fuite de ses données personnelles ; une expression d’argot populaire utilisée en Chine pour un manque notoire d’intimité.
Sur les dizaines qu’ils ont appelées, « neuf ont récupéré et confirmé exactement ce que les données disaient », écrit Hao sur Twitter.
Un pirate informatique vend les informations d’un milliard de citoyens chinois présumées volées à la police de Shanghai. @rachelliang5602 & j’ai téléchargé l’échantillon fourni par le pirate informatique et appelé des dizaines de personnes répertoriées. Nine a repris et confirmé exactement ce que les données disaient. https://t.co/X0VhJaWjvb4 juillet 2022
« J’étais vraiment abasourdi quand la première personne a décroché – je croyais vraiment que tout était faux. À la troisième, je tremblais – à la fois à cause des nerfs d’essayer d’expliquer pourquoi j’avais leurs informations extrêmement privées et du poids de réaliser ce que cette fuite pourrait signifier pour tant de personnes. »
Hao et Liang notent que plusieurs des numéros qu’ils ont essayé d’appeler étaient invalides ou n’étaient plus en service, mais que les utilisateurs de téléphones mobiles en Chine sont plus susceptibles de changer de numéro toutes les quelques années que dans d’autres pays.
La base de données était en vente pour la somme dérisoire de 10 bitcoins, ce qui se traduit par environ 200 000 $ pour le moment, ce qui n’est pas tant que ça pour la plus grande violation de données de tous les temps.
Le rapport du WSJ note que Zhao Changpeng, PDG de l’échange de crypto, Binance, a tweeté que ses renseignements sur les menaces avaient détecté la vente sur « le dark web » et amélioraient sa propre sécurité en conséquence.
Apparemment, cet exploit s’est produit parce que le développeur gouvernemental a écrit un blog technique sur CSDN et a accidentellement inclus les informations d’identification. 1 milliard d’enregistrements de données de citoyens privés. ? https://t.co/vPISm534Tn pic.twitter.com/FpMCGrpx084 juillet 2022
Zhao a poursuivi en détaillant que la source du piratage aurait pu provenir d’un développeur gouvernemental écrivant sur un blog technologique et révélant accidentellement les informations d’identification de la base de données dans des lignes de code publiées en 2020.
Suite à cette fuite, une autre publication, supposée par un policier en Chine, sur Breach Forums promet d’autres vidages de la base de données de la police « inspirés par le récent événement de Shanghai » avec une base de données initiale de 2016 publiée comme un « cadeau de réunion ».
Breach Forum est le successeur spirituel de RaidForums, qui a été démantelé lors d’une opération internationale conjointe (s’ouvre dans un nouvel onglet) où le fondateur et administrateur principal du site, Diogo Santos Coelho, a été arrêté et inculpé au Royaume-Uni.