La Chine tente de censurer ce qui pourrait être le plus gros piratage de données de l’histoire

Un pirate affirme détenir des infos sur 1 Md de citoyens chinois qu’il veut vendre pour 10 bitcoins.

Les censeurs chinois font des heures supplémentaires pour réprimer les informations selon lesquelles les données qu’ils ont siphonnées à leurs citoyens au fil des ans sont apparemment disponibles et sont vendues à un prix inférieur au coût prévu d’un Tesla Roadster. Lundi, des rapports ont montré qu’un pirate identifié uniquement comme “ChinaDan” a déclaré aux membres du site de pirates Breach Forums qu’il avait acquis 23 téraoctets de données sur 1 milliard de citoyens chinois. Ce sont des données dont il est prêt à se séparer pour le bon prix. Combien valent les données personnelles de 1 milliard de personnes ? Apparemment, seulement 10 bitcoins, soit environ 200 000 $.

Un hacker non identifié vend plusieurs bases de données qui, selon lui, contiennent plus de 22 téraoctets d’informations volées sur environ 1 milliard de citoyens chinois pour 10 bitcoins. L’annonce a été publiée sur un forum de hackers par une personne utilisant le pseudo “ChinaDan”, affirmant que les informations avaient fuité de la base de données de la police nationale de Shanghai (SHGA).

Sur la base des informations qu’il a partagé concernant les données prétendument volées, les bases de données contiennent les noms, adresses, numéros d’identification nationaux, numéros d’informations de contact et plusieurs milliards de casiers judiciaires des résidents nationaux chinois.

ChinaDan a également partagé un échantillon de 750 000 enregistrements contenant des informations de livraison, des informations d’identification et des enregistrements d’appels de la police. Ces enregistrements permettraient aux acheteurs intéressés de vérifier que les données à vendre ne sont pas fausses.

« En 2022, la base de données de la police nationale de Shanghai (SHGA) a fuité. Cette base de données contient de nombreux To de données et d’informations sur des milliards de citoyens chinois », a déclaré l’individu dans son message la semaine dernière. « Les bases de données contiennent des informations sur 1 milliard de résidents nationaux chinois et plusieurs milliards d’enregistrements de cas, notamment*: nom, adresse, lieu de naissance, numéro d’identification national, numéro de téléphone portable, détails de tous les crimes / cas. »

L’individu a confirmé que les données avaient été exfiltrées d’un cloud privé local fourni par Aliyun (Alibaba Cloud), qui fait partie du réseau de la police chinoise (alias réseau de sécurité publique).

Dimanche, le PDG de Binance, Zhao Changpeng, a confirmé que les experts en renseignement sur les menaces de son entreprise avaient repéré les affirmations de ChinaDan et a déclaré que la fuite était probablement due à une base de données ElasticSearch qu’une agence gouvernementale chinoise a accidentellement exposée en ligne.

«*Nos informations sur les menaces ont détecté 1*milliard d’enregistrements de résidents à vendre sur le dark*Web, y compris le nom, l’adresse, la carte d’identité nationale, le numéro de téléphone mobile, les dossiers de police et médicaux d’un pays asiatique. Probablement en raison d’un bogue dans un déploiement d’Elastic Search par une agence gouvernementale », a déclaré Zhao. « Cela a un impact sur les mesures de détection/prévention des pirates, les numéros mobiles utilisés pour les prises de contrôle de compte, etc. »

Zhao a ajouté plus tard « qu’apparemment, cet exploit s’est produit parce que le développeur gouvernemental a écrit un blog technique sur CSDN et a accidentellement inclus les informations d’identification ».

La journaliste du Wall Street Journal, Karen Hao, a contacté des dizaines de personnes dont les données auraient été volées suite à la violation et a déclaré que certaines d’entre elles avaient confirmé toutes les informations disponibles dans l’échantillon divulgué. « À ce stade, il est impossible de confirmer l’ampleur de la fuite de données, mais cinq des personnes dont les données ont été récupéré ont confirmé tous les détails des informations associées à leur nom – des informations qu’il serait difficile d’obtenir d’une source autre que la police », a déclaré Hao. « Les quatre autres ont confirmé des informations de base comme leurs noms avant de raccrocher. »

La réaction du gouvernement

La fuite a suscité pas mal de critiques parmi lesquelles celles qui estiment que le nombre de personnes affecté est probablement exagérée, d’autant plus que le nombre total de cette base de données de la police de Shanghai ne serait que de 400 millions de moins que la population totale de toute la Chine, 1,4 milliard.

Le gouvernement chinois n’a fait aucune mention officielle du piratage aux journalistes, à la télévision ou en ligne. D’autres rapports ont montré à quel point Pékin ne veut pas que ses citoyens parlent de la violation. Le Financial Times a rapporté que les censeurs du gouvernement ont supprimé des publications sur les réseaux sociaux chinois qui osaient même mentionner la fuite présumée.

FT a écrit que Weibo, essentiellement la version chinoise de Twitter, et WeChat censuraient déjà toute mention de hashtags contenant « fuite de données » ou « violation de base de données ». Les censeurs ont bloqué les publications existantes et auraient même demandé à au moins un individu avec une grande communauté (de nombreux abonnés) de se présenter pour un interrogatoire. Le NYT a rapporté que les médias d’État chinois ont été muets sur les nouvelles du piratage.

Le pirate a écrit que les données provenaient de la société d’informatique cloud Aliyun qui, selon eux, héberge la base de données de la police de Shanghai.

Le New York Times a pu confirmer la véracité de l’échantillon original contenant les informations personnelles de 250 000 citoyens. Les journalistes ont appelé des personnes répertoriées dans la base de données qui ont apparemment confirmé qui elles étaient et tous les rapports de police antérieurs qu’elles auraient déposés – qui incluaient également si une personne était qualifiée de « personne clé » par la sécurité publique, ce qui facilite le signalement de ses activités dans l’état de surveillance plus large du pays.

Le Wall Street Journal a également appelé quelques-uns des noms et numéros contenus dans l’échantillon plus large de 750 000, où cinq de ces personnes ont également confirmé que des données seraient difficiles à obtenir si elles n’étaient pas recueillies par la police. Certains numéros que le Journal a essayés n’étaient plus valides, bien que les journalistes aient noté que les citoyens chinois changeaient souvent leurs numéros.

Un homme dans l’ensemble de données piraté, qui portait le nom de famille Wei, a déclaré au Journal après avoir appris que ses informations avaient été divulguées « Nous courons tous nus », une expression courante pour les résidents chinois pour dire qu’ils n’ont aucune vie privée.

Si les affirmations de ChinaDan s’avèrent exactes, il s’agirait de la violation de données la plus importante qui ait jamais touchée par la Chine et l’une des plus importantes de l’histoire. 2022 s’est déjà avérée une grande année pour les violations de données dans les entreprises multinationales ainsi que les gouvernements.

Lire aussi : Hertzbleed est un nouveau piratage de processeur qui touche à peu près tout le monde

Sources : Developpez – Financial Times, PDG Binance, NYT