Les dossiers de la police de Shanghai, contenant les noms, les numéros d’identification du gouvernement, les numéros de téléphone et les rapports d’incidents de près d’un milliard de citoyens chinois, ont été stockés en toute sécurité, selon les experts en cybersécurité. Mais un tableau de bord pour la gestion et l’accès aux données a été mis en place sur une adresse Web publique et laissé ouvert sans mot de passe, ce qui a permis à toute personne ayant des connaissances techniques relativement basiques d’entrer et de copier ou de voler la mine d’informations, ont-ils déclaré.
“Qu’ils laissent autant de données exposées est insensé”, a déclaré Vinny Troia, fondateur de la société de renseignement sur le Web sombre Shadowbyte, qui analyse le Web à la recherche de bases de données non sécurisées et a trouvé la base de données de la police de Shanghai en janvier.
Les dossiers de police de Shanghai divulgués contenaient des noms, des informations d’identification et des rapports d’incidents pour près d’un milliard de citoyens chinois.
Photo:
alex plavevski / Shutterstock
La base de données est restée exposée pendant plus d’un an, d’avril 2021 au milieu du mois dernier, lorsque ses données ont été soudainement effacées et remplacées par une note de rançon à découvrir par la police de Shanghai, selon Bob Diachenko, propriétaire de la recherche sur la cybersécurité. La société SecurityDiscovery, qui a également trouvé la base de données – et plus tard la note – grâce à ses analyses Web périodiques plus tôt cette année.
« your_data_is_safe », lit-on sur la note de rançon, selon les captures d’écran fournies par M. Diachenko. “contact_for_your_data…recovery10btc”, ce qui signifie que les données seraient renvoyées pour 10 bitcoins, soit environ 200 000 $.
Le montant de la rançon correspond au prix qu’un utilisateur anonyme a commencé à demander jeudi dernier sur un forum de cybercriminalité en ligne en échange de l’accès à une base de données qui, selon l’utilisateur, contenait des milliards d’informations sur les citoyens chinois volées dans une base de données de la police nationale de Shanghai.
Le message, qui a commencé à circuler sur les réseaux sociaux au cours du week-end, a alarmé les experts en cybersécurité non seulement par l’ampleur de la fuite, mais également par la sensibilité des informations contenues dans la base de données gouvernementale.
Le gouvernement de Shanghai et la Cyberspace Administration of China, le régulateur Internet du pays, n’ont pas répondu aux demandes de commentaires.
Les experts en cybersécurité ont rassemblé de nouvelles preuves de l’authenticité de la base de données et des détails sur la quantité d’informations privées qui auraient pu tomber entre les mains de cybercriminels.
Le tableau de bord a agi comme une porte ouverte sur le coffre-fort de données, disent-ils, qui n’a pas été fermé – même après la disparition de toutes les données – jusqu’à ce que la vulnérabilité commence à attirer l’attention du public. Selon M. Troia, celui qui a volé les données est probablement la même entité qui les colporte.
“Ce qui est assez courant, c’est que si la victime de la rançon ne paie pas la rançon, elle essaiera de vendre les données en ligne”, a-t-il déclaré.
Il n’a pas été possible de déterminer si la base de données a été rendue accessible au public par accident ou à dessein, peut-être pour partager les données plus facilement entre quelques personnes. De telles vulnérabilités sont courantes, ont déclaré M. Troia et M. Diachenko, bien que tous deux aient déclaré avoir été choqués de trouver une base de données non sécurisée de cette taille.
Les deux ont déclaré avoir également corroboré les affirmations du bailleur anonyme selon lesquelles il comprend plus de 23 téraoctets de données couvrant jusqu’à un milliard d’individus. Un fichier nommé “person_address_label_info_master” – qui contient les noms, les anniversaires, les adresses, les identifiants gouvernementaux et les photos d’identité des personnes – contient près de 970 millions de lignes, ont-ils déclaré, ce qui suggère qu’il inclut des détails sur autant de personnes, en supposant qu’il n’y a pas d’entrées en double.
Ce fichier marque les individus qui ont des antécédents criminels et comprend les personnes ayant commis des infractions au code de la route, celles considérées comme des fugitifs et celles qui ont été accusées de viol ou d’homicide. Il comprend également une étiquette pour «les personnes qui doivent être étroitement surveillées», une désignation souvent utilisée dans les systèmes de surveillance du gouvernement chinois pour désigner les personnes considérées comme une menace pour l’ordre social.
Un dossier de la police de Shanghai qui a fait l’objet d’une fuite comprend des dossiers allant d’infractions au code de la route à des accusations de meurtre.
Photo:
alex plavevski / Shutterstock
La fuite de données met en évidence ce que certains chercheurs en politique ont décrit comme la contradiction centrale de l’approche chinoise de la sécurité de l’information.
Ces dernières années, Pékin a signalé que la sécurité et la confidentialité des données sont une priorité, en adoptant une série de lois et de réglementations conçues pour restreindre la collecte commerciale de données sensibles, y compris les informations personnelles, et les conserver à l’intérieur des frontières du pays. Dans le même temps, le gouvernement a lui-même continué à collecter de grandes quantités de données via un appareil de surveillance numérique à l’échelle nationale pour exercer un contrôle plus strict sur la société chinoise.
Le fait que l’information ait été divulguée par une agence gouvernementale – et qu’un nombre inconnu de copies circulent désormais à l’extérieur des frontières du pays – pourrait saper l’argument de Pékin selon lequel un tel système protège la sécurité nationale, selon certains experts chinois en politique technologique.
“On ne sait pas qui tient qui responsable”, a écrit sur Twitter Kendra Schaefer, responsable de la recherche sur les politiques technologiques chez Trivium China, une société de conseil stratégique basée à Pékin, en réponse à la fuite. Elle a déclaré que c’est généralement le ministère de la Sécurité publique, qui supervise les services de police locaux tels que la police de Shanghai, qui est responsable des enquêtes sur la cybercriminalité.
Le gouvernement chinois n’a pas commenté la fuite de données, et les références à celle-ci sur les réseaux sociaux chinois sont rapidement effacées.
Certains utilisateurs chinois de Twitter, y compris le directeur général de l’échange de crypto-monnaie Binance, ont émis l’hypothèse que la fuite provenait d’un article de blog technique de 2020 publié par un utilisateur sur CSDN, un forum de développeurs chinois similaire à Github, qui semblait inclure par inadvertance l’accès informations d’identification à un serveur de la police de Shanghai.
M. Troia et M. Diachenko ont déclaré que la base de données, sur la base de sa configuration, n’avait en fait pas du tout besoin d’informations d’identification d’accès, ce qui rend cette théorie peu probable. La faute en revient à la personne qui a installé le tableau de bord, ont-ils dit.
Écrire à Karen Hao à [email protected] et Rachel Liang à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
