Τρίτη 19 Ιουλίου 2022

Κίνα: Αποκαλύφθηκε μία από τις μεγαλύτερες διαρροές προσωπικών δεδομένων στην ιστορία – Online για πάνω από ένα χρόνο τα στοιχεία 1 δισ. πολιτών

 

Μια τεράστια διαδικτυακή βάση δεδομένων που περιείχε τα προσωπικά στοιχεία ενός δισεκατομμυρίου Κινέζων πολιτών παρέμεινε ανασφάλιστη και δημόσια προσβάσιμη για περισσότερο από ένα χρόνο – μέχρι που ένας ανώνυμος χρήστης σε ένα φόρουμ χάκερ προσφέρθηκε να πουλήσει τα δεδομένα την περασμένη εβδομάδα.
 
Η διαρροή η οποία θεωρείται μία από τις μεγαλύτερες που έχουν καταγραφεί ποτέ στην ιστορία, σύφμωνα με ειδικούς, αναδεικνύει τους κινδύνους που εγκυμονεί η συλλογή και αποθήκευση τεράστιων ποσοτήτων ευαίσθητων προσωπικών δεδομένων στο διαδίκτυο – ιδίως σε μια χώρα όπου οι αρχές έχουν ευρεία και ανεξέλεγκτη πρόσβαση σε αυτά τα δεδομένα, όπως αναφέρει το CNN.
 
Σύμφωνα με το LeakIX, ιστότοπο που εντοπίζει εκτεθειμένες βάσεις δεδομένων στο διαδίκτυο, ο τεράστιος θησαυρός των κινεζικών προσωπικών δεδομένων ήταν δημόσια προσβάσιμος μέσω ενός συνδέσμου που φαινόταν να είναι μη ασφαλής – τουλάχιστον από τον Απρίλιο του 2021.  
 
23 terabytes για 200.000 δολάρια  
 
Η πρόσβαση στη βάση δεδομένων, η οποία δεν απαιτούσε κωδικό πρόσβασης, έκλεισε αφού ανώνυμος χρήστης διαφήμισε τα περισσότερα από 23 terabytes (TB) δεδομένων προς πώληση για 10 bitcoin — περίπου 200.000 δολάρια μέσω φόρουμ χάκερ, την περασμένη Πέμπτη.  
 
Ο χρήστης ισχυρίστηκε ότι η βάση δεδομένων είχε συγκεντρωθεί από την αστυνομία της Σαγκάης και περιείχε ευαίσθητες πληροφορίες για ένα δισεκατομμύριο Κινέζους υπηκόους, συμπεριλαμβανομένων των ονομάτων, των διευθύνσεων, των αριθμών κινητών τηλεφώνων, των εθνικών αριθμών ταυτότητας, των ηλικιών και των τόπων γέννησής τους, καθώς και δισεκατομμύρια αρχεία τηλεφωνικών κλήσεων που έγιναν στην αστυνομία για να αναφέρουν αστικές διαφορές και εγκλήματα.  
 
Μάλιστα, δείγμα 750.000 καταχωρίσεων δεδομένων από τα τρία κύρια ευρετήρια της βάσης δεδομένων περιλαμβανόταν στην ανάρτηση του πωλητή. Το CNN επαλήθευσε τη γνησιότητα περισσότερων από δύο δωδεκάδων καταχωρίσεων από το δείγμα που παρείχε ο πωλητής, αλλά δεν μπόρεσε να αποκτήσει πρόσβαση στην αρχική βάση δεδομένων ενώ την ίδια ώρα η κυβέρνηση και το αστυνομικό τμήμα της Σαγκάης δεν απάντησαν στα επανειλημμένα γραπτά αιτήματα του CNN για σχολιασμό.  
 
Ο πωλητής ισχυρίστηκε επίσης ότι η μη ασφαλής βάση δεδομένων είχε φιλοξενηθεί από την Alibaba Cloud, θυγατρική του κινεζικού γίγαντα του ηλεκτρονικού εμπορίου Alibaba, ενώ σε δήλωσή της προς το CNN, η εταιρεία δήλωσε ότι γνώριζε για το περιστατικό και το διερευνούσε.  
 
Ωστόσο, οι ειδικοί με τους οποίους μίλησε το CNN δήλωσαν ότι ο ιδιοκτήτης των δεδομένων ήταν αυτός που έφταιγε, όχι η εταιρεία που τα φιλοξενούσε. «Όπως έχει η κατάσταση σήμερα, πιστεύω ότι αυτή θα είναι η μεγαλύτερη διαρροή δημόσιων πληροφοριών μέχρι σήμερα – σίγουρα όσον αφορά το εύρος του αντίκτυπου στην Κίνα, μιλάμε για το μεγαλύτερο μέρος του πληθυσμού εδώ”, δήλωσε ο Troy Hunt, περιφερειακός διευθυντής της Microsoft με έδρα την Αυστραλία.  
 
Στην Κίνα ζουν 1,4 δισεκατομμύρια άνθρωποι, πράγμα που σημαίνει ότι η παραβίαση των δεδομένων θα μπορούσε δυνητικά να επηρεάσει περισσότερο από το 70% του πληθυσμού, ενώ δεν είναι σαφές πόσοι άνθρωποι είχαν πρόσβαση ή κατέβασαν τη βάση δεδομένων κατά τη διάρκεια των 14 ή περισσότερων μηνών που ήταν δημόσια διαθέσιμη στο διαδίκτυο.  
 
Δύο δυτικοί εμπειρογνώμονες σε θέματα ασφάλειας στον κυβερνοχώρο που μίλησαν στο CNN γνώριζαν και οι δύο την ύπαρξη της βάσης δεδομένων πριν αυτή βρεθεί στο επίκεντρο της δημοσιότητας την περασμένη εβδομάδα, υποδηλώνοντας ότι θα μπορούσε να ανακαλυφθεί εύκολα από ανθρώπους που ήξεραν πού να ψάξουν.  
 
Ο Vinny Troia, ερευνητής κυβερνοασφάλειας και ιδρυτής της εταιρείας πληροφοριών του σκοτεινού ιστού Shadowbyte, δήλωσε ότι ανακάλυψε για πρώτη φορά τη βάση δεδομένων «γύρω στον Ιανουάριο», ενώ αναζητούσε ανοικτές βάσεις δεδομένων στο διαδίκτυο.  
 
“Ο ιστότοπος στον οποίο τη βρήκα είναι δημόσιος, οποιοσδήποτε (θα μπορούσε) να έχει πρόσβαση σε αυτόν, το μόνο που πρέπει να κάνεις είναι να εγγραφείς για λογαριασμό”, δήλωσε ο Troia. “Δεδομένου ότι άνοιξε τον Απρίλιο του 2021, οποιοσδήποτε αριθμός ανθρώπων θα μπορούσε να έχει κατεβάσει τα δεδομένα”, πρόσθεσε.  
 
Ο Troia δήλωσε ότι κατέβασε ένα από τα κύρια ευρετήρια της βάσης δεδομένων, η οποία φαίνεται να περιέχει πληροφορίες για σχεδόν 970 εκατομμύρια Κινέζους πολίτες, προσθέτοντας ότι είναι δύσκολο να κρίνει κανείς με βεβαιότητα αν η ανοιχτή πρόσβαση ήταν μια παράλειψη των ιδιοκτητών της βάσης δεδομένων ή αν ήταν μια σκόπιμη κίνηση.  
 
 
«Πᾶνος»  

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου