Business

Près d’un milliard de personnes en Chine ont vu leurs données personnelles divulguées, et elles sont en ligne depuis plus d’un an | CNN

Près d'un milliard de personnes en Chine ont vu leurs données personnelles divulguées, et elles sont en ligne depuis plus d'un an |  CNN

[ad_1]



CNN

Une énorme base de données en ligne contenant apparemment les informations personnelles de jusqu’à un milliard de citoyens chinois a été laissée non sécurisée et accessible au public pendant plus d’un an – jusqu’à ce qu’un utilisateur anonyme d’un forum de pirates propose de vendre les données et de les porter à une plus grande attention la semaine dernière.

La fuite pourrait être l’une des plus importantes jamais enregistrées dans l’histoire, selon les experts en cybersécurité, soulignant les risques liés à la collecte et au stockage de grandes quantités de données personnelles sensibles en ligne, en particulier dans un pays où les autorités ont un accès large et incontrôlé à ces données.

La vaste mine de données personnelles chinoises était accessible au public via ce qui semblait être un lien de porte dérobée non sécurisé – une adresse Web raccourcie qui offre un accès illimité à toute personne en ayant connaissance – depuis au moins avril 2021, selon LeakIX, un site qui détecte et indexe les bases de données exposées en ligne.

L’accès à la base de données, qui ne nécessitait pas de mot de passe, a été fermé après qu’un utilisateur anonyme a annoncé la vente de plus de 23 téraoctets (To) de données pour 10 bitcoins – environ 200 000 $ – dans un message sur un forum de hackers jeudi dernier.

L’utilisateur a affirmé que la base de données avait été rassemblée par la police de Shanghai et contenait des informations sensibles sur un milliard de ressortissants chinois, y compris leurs noms, adresses, numéros de téléphone portable, numéros d’identification nationaux, âges et lieux de naissance, ainsi que des milliards d’enregistrements d’appels téléphoniques passés à la police. rendre compte des litiges civils et des crimes.

Un échantillon de 750 000 entrées de données provenant des trois principaux index de la base de données a été inclus dans le message du vendeur. CNN a vérifié l’authenticité de plus de deux douzaines d’entrées de l’échantillon fourni par le vendeur, mais n’a pas pu accéder à la base de données d’origine.

Le gouvernement et le département de police de Shanghai n’ont pas répondu aux demandes écrites répétées de CNN pour des commentaires.

Le vendeur a également affirmé que la base de données non sécurisée avait été hébergée par Alibaba Cloud, une filiale du géant chinois du commerce électronique Alibaba. Dans une déclaration à CNN, Alibaba a déclaré qu’il était au courant de l’incident et enquêtait dessus.

Mais les experts avec lesquels CNN s’est entretenu ont déclaré que c’était le propriétaire des données qui était en faute, et non la société qui les hébergeait.

“Dans l’état actuel des choses, je pense que ce serait la plus grande fuite d’informations publiques à ce jour – certainement en termes d’ampleur de l’impact en Chine, nous parlons de la plupart de la population ici”, a déclaré Troy Hunt, un responsable régional de Microsoft. réalisateur basé en Australie.

La Chine abrite 1,4 milliard d’habitants, ce qui signifie que la violation de données pourrait potentiellement toucher plus de 70 % de la population.

« C’est un peu un cas où le génie ne pourra pas retourner dans la bouteille. Une fois que les données sont disponibles sous la forme qu’elles semblent être maintenant, il n’y a pas de retour en arrière », a déclaré Hunt.

On ne sait pas combien de personnes ont accédé ou téléchargé la base de données au cours des 14 mois ou plus où elle a été laissée publiquement disponible en ligne. Deux experts occidentaux en cybersécurité qui ont parlé à CNN étaient tous deux au courant de l’existence de la base de données avant qu’elle ne soit mise à l’honneur la semaine dernière, suggérant qu’elle pourrait être facilement découverte par des personnes qui savaient où chercher.

Vinny Troia, chercheur en cybersécurité et fondateur de la société de renseignement sur le Web sombre Shadowbyte, a déclaré qu’il avait découvert la base de données pour la première fois “vers janvier” en recherchant des bases de données ouvertes en ligne.

“Le site sur lequel je l’ai trouvé est public, n’importe qui (pourrait) y accéder, tout ce que vous avez à faire est de créer un compte”, a déclaré Troia. “Depuis son ouverture en avril 2021, n’importe quel nombre de personnes aurait pu télécharger les données”, a-t-il ajouté.

Troia a déclaré avoir téléchargé l’un des principaux index de la base de données, qui semble contenir des informations sur près de 970 millions de citoyens chinois.

Troia a déclaré qu’il était difficile de juger avec certitude si l’accès ouvert était un oubli des propriétaires de la base de données, ou s’il s’agissait d’un raccourci intentionnel destiné à être partagé entre un petit nombre de personnes.

“Soit ils l’ont oublié, soit ils l’ont volontairement laissé ouvert parce qu’il leur est plus facile d’y accéder”, a-t-il déclaré, faisant référence aux autorités responsables de la base de données. « Je ne sais pas pourquoi ils le feraient. Cela semble très négligent.

Les données personnelles non sécurisées – exposées par des fuites, des violations ou une forme d’incompétence – sont un problème de plus en plus courant auquel sont confrontées les entreprises et les gouvernements du monde entier, et les experts en cybersécurité affirment qu’il n’est pas rare de trouver des bases de données ouvertes au public.

En 2018, Trioa a découvert qu’une société de marketing basée en Floride avait exposé près de 2 To de données qui semblaient inclure des informations personnelles sur des centaines de millions d’adultes américains sur un serveur accessible au public, selon Wired.

En 2019, Victor Gevers, un chercheur néerlandais en cybersécurité, a trouvé une base de données en ligne contenant les noms, les numéros d’identification nationaux, les dates de naissance et les données de localisation de plus de 2,5 millions de personnes dans la région de l’extrême ouest de la Chine, le Xinjiang, qui a été laissée sans protection pendant des mois par les Chinois. société SenseNets Technology, selon Reuters.

Mais la dernière fuite de données est particulièrement inquiétante, selon les chercheurs en cybersécurité, non seulement en raison de son volume potentiellement sans précédent, mais aussi de la nature sensible des informations contenues.

Une analyse CNN de l’échantillon de base de données a trouvé des dossiers de police d’affaires couvrant près de deux décennies de 2001 à 2019. Bien que la majorité des entrées soient des litiges civils, il existe également des dossiers d’affaires pénales allant de la fraude au viol.

Dans un cas, un habitant de Shanghai a été convoqué par la police en 2018 pour avoir utilisé un réseau privé virtuel (VPN) pour échapper au pare-feu chinois et accéder à Twitter, retweetant prétendument « des propos réactionnaires impliquant le Parti (communiste), la politique et les dirigeants ».

Dans un autre dossier, une mère a appelé la police en 2010, accusant son beau-père d’avoir violé sa fille de 3 ans.

“Il pourrait y avoir de la violence domestique, de la maltraitance d’enfants, toutes sortes de choses là-dedans, c’est pour moi beaucoup plus inquiétant”, a déclaré Hunt, directeur régional de Microsoft.

« Cela pourrait-il conduire à l’extorsion ? Nous assistons souvent à l’extorsion d’individus après des fuites de données, des exemples où les pirates peuvent même essayer de rançonner des individus. »

Le gouvernement chinois a récemment intensifié ses efforts pour améliorer la protection de la confidentialité des données des utilisateurs en ligne. L’année dernière, le pays a adopté sa première loi sur la protection des informations personnelles, établissant des règles de base sur la manière dont les données personnelles doivent être collectées, utilisées et stockées. Mais les experts ont fait part de leurs inquiétudes quant au fait que si la loi peut réglementer les entreprises technologiques, elle pourrait être difficile à appliquer lorsqu’elle est appliquée à l’État chinois.

Bob Diachenko, un chercheur en sécurité basé en Ukraine, a découvert la base de données pour la première fois en avril. À la mi-juin, sa société a détecté que la base de données avait été attaquée par un acteur malveillant inconnu, qui a détruit et copié les données et laissé une note de rançon exigeant 10 bitcoins pour sa récupération, a déclaré Diachenko.

Il n’est pas clair si c’était le travail de la même personne qui a annoncé la vente des informations de la base de données la semaine dernière.

Au 1er juillet, la note de rançon avait disparu, selon Diachenko, mais seuls 7 gigaoctets (Go) de données étaient disponibles – au lieu des 23 To initialement annoncés.

Diachenko a déclaré qu’il suggérait que la rançon avait été résolue, mais les propriétaires de la base de données avaient continué à utiliser la base de données exposée pour le stockage, jusqu’à ce qu’elle soit fermée au cours du week-end.

“Peut-être qu’un développeur junior l’a remarqué et a essayé de supprimer les notes avant que la haute direction ne les remarque”, a-t-il déclaré.

La police de Shanghai n’a pas répondu à la demande de commentaires de CNN sur la note de rançon.

.

[ad_2]
Source link

Nice Health