Článek
Uživatel s přezdívkou „ChinaDan“ nabídl minulý týden na hackerském fóru Breach Forums k prodeji osobní data miliardy Číňanů. Za více než 23 terabytů dat požadoval deset bitcoinů, tedy zhruba 200 000 dolarů (v přepočtu 4,7 milionu korun).
Napsala to agentura Reuters s tím, že se zatím nepodařilo pravost příspěvku ověřit.
ChinaDan tvrdil, že databázi sestavila šanghajská policie. „Obsahuje informace o miliardě čínských obyvatel a policejních záznamech, včetně jména, adresy, místa narození, čísla občanského průkazu, čísla mobilního telefonu, všech podrobností o trestných činech a dalších případech. Informace unikly z této databáze v roce 2022,“ psal v příspěvku.
Přiložil rovněž vzorek 750 000 datových záznamů ze tří hlavních indexů databáze. Americká televize CNN pravost více než dvou desítek náhodných záznamů ověřila a tvrdí, že data jsou pravá.
Podle webu LeakIX, který se detekcí odhalených databází na internetu zabývá, byl rozsáhlý soubor veřejně přístupný, a to prostřednictvím nezabezpečené zkrácené webové adresy. Ta nabízí neomezený přístup komukoli, kdo o ní ví. K databázi se šlo podle serveru tímto způsobem dostat od dubna 2021 a k omezení došlo až poté, co se nabídka objevila na internetu.
Džin se nevrátí do lahve
Prodejce také napsal, že nezabezpečenou databázi provozovala společnost Alibaba Cloud, dceřiná společnost čínského giganta v oblasti elektronického obchodování Alibaba.
Odborníci, s nimiž web CNN hovořil, však uvedli, že na vině je vlastník dat, nikoli společnost, která je hostuje.
„V současné době se domnívám, že se jedná o dosud největší únik veřejných informací – rozhodně pokud jde o rozsah dopadu v Číně, mluvíme zde o většině populace,“ řekl Troy Hunt, regionální ředitel společnosti Microsoft.
„Je to tak trochu případ, kdy se džin nebude moci vrátit zpět do lahve. Jakmile jsou jednou údaje venku v takové podobě, v jaké se nyní zdají být, není cesty zpět,“ pokračoval.
V Číně žije 1,4 miliardy lidí, únik dat by se tak mohl potenciálně týkat více než 70 procent obyvatel.
K datům mohl kdokoli
Vinny Troia, výzkumník v oblasti kybernetické bezpečnosti a zakladatel společnosti Shadowbyte, jež se zabývá zpravodajstvím z temného webu, pro CNN uvedl, že databázi poprvé objevil „někdy v lednu“ při hledání otevřených databází na internetu.
„Stránka, na které jsem ji našel, je veřejná, může se k ní dostat kdokoli, stačí si jen zaregistrovat účet,“ řekl Troia. „Vzhledem k tomu, že byla otevřena v dubnu 2021, mohl si data stáhnout libovolný počet lidí,“ dodal.
Troia uvedl, že si stáhl jeden z hlavních indexů databáze, který podle všeho obsahuje informace téměř o 970 milionech čínských občanů. Bylo však podle něj těžké posoudit, zda byl otevřen přístup ze strany majitelů databáze nedopatřením, nebo zda šlo o záměrnou zkratku určenou ke sdílení mezi malým počtem lidí.
„Buď na ni zapomněli, nebo ji nechali záměrně otevřenou, protože je pro ně snadnější se k ní dostat. Nevím, proč by to dělali. Zní to velmi nedbale,“ řekl Troia.
O příspěvku čínského hackera se o víkendu hojně diskutovalo také na čínských sociálních sítích Weibo a WeChat. Mnoho uživatelů sdílelo obavy, že by hackerský útok mohl být skutečný. Hashtag „únik dat“ byl v neděli odpoledne na Weibu zablokován.
Stále častější problém
Nezabezpečené osobní údaje – odhalené v důsledku úniku, narušení nebo nějaké formy nekompetentnosti – jsou stále častějším problémem, s nímž se potýkají společnosti a vlády po celém světě.
Troia například uvedl, že v roce 2018 marketingová firma se sídlem na Floridě na veřejně přístupném serveru měla k dispozici téměř 2 terabyty dat. Data podle všeho obsahovala osobní údaje o stovkách milionů dospělých Američanů, uvedl web Wired.
V roce 2019 našel nizozemský výzkumník v oblasti kybernetické bezpečnosti Victor Gevers podle agentury Reuters online databázi obsahující jména, čísla občanských průkazů, data narození a údaje o poloze více než 2,5 milionu lidí v čínském regionu Sin-ťiang na dálném západě země, kterou čínská firma SenseNets Technology nechala několik měsíců nechráněnou.
Podle výzkumníků v oblasti kybernetické bezpečnosti je však nejnovější únik dat obzvláště znepokojivý, a to nejen kvůli jeho potenciálně bezprecedentnímu objemu, ale také kvůli citlivé povaze obsažených informací.
Analýza vzorku databáze, kterou provedla CNN, odhalila policejní záznamy o případech z období téměř dvou desetiletí od roku 2001 do roku 2019. Většina záznamů se týká občanskoprávních sporů, ale jsou zde i záznamy o trestních případech od podvodů až po znásilnění.
If you're not following this, you should be: word on the social media street is that China's police force (MPS - Shanghai) database was hacked, with the personal information and case records of 1 billion citizens, and the records are for sale on Telegram - 23TB of data. 1/7 https://t.co/a59KB8JBHF
— Kendra Schaefer 凯娜 (@kendraschaefer) July 4, 2022
„Je těžké oddělit pravdu od fám, ale pokud by materiál, o kterém hacker tvrdil, že pochází od ministerstva státní bezpečnosti, byl pravý, znamenalo by to problém hned z několika důvodů. Nejspíše by se incident zapsal jako největší a nejzávažnější narušení bezpečnosti dat v historii,“ uvedla na Twitteru vedoucí výzkumu Kendra Schaeferová z pekingské poradenské společnosti Trivium China.
Tvrzení o hackerském útoku přichází navíc v době, kdy Čína slíbila zlepšit ochranu soukromí uživatelů v online prostředí. V důsledku stížností veřejnosti na špatnou správu a zneužívání dat nařídila svým technologickým firmám, aby zajistily bezpečnější ukládání dat.
V loňském roce Čína přijala nové zákony upravující způsob nakládání s osobními údaji a daty vytvořenými na jejím území.