Hlavní obsah

Hacker tvrdí, že má osobní data miliardy Číňanů. Chce za ně bitcoiny

Foto: Profimedia.cz

Uniklá data měla pocházet od šanghajské policie.

Anonym nabízí k prodeji více než 23 terabytů dat. Pokud by se informace potvrdily, šlo by o jeden z největších úniků dat v historii.

Článek

Uživatel s přezdívkou „ChinaDan“ nabídl minulý týden na hackerském fóru Breach Forums k prodeji osobní data miliardy Číňanů. Za více než 23 terabytů dat požadoval deset bitcoinů, tedy zhruba 200 000 dolarů (v přepočtu 4,7 milionu korun).

Napsala to agentura Reuters s tím, že se zatím nepodařilo pravost příspěvku ověřit.

ChinaDan tvrdil, že databázi sestavila šanghajská policie. „Obsahuje informace o miliardě čínských obyvatel a policejních záznamech, včetně jména, adresy, místa narození, čísla občanského průkazu, čísla mobilního telefonu, všech podrobností o trestných činech a dalších případech. Informace unikly z této databáze v roce 2022,“ psal v příspěvku.

Přiložil rovněž vzorek 750 000 datových záznamů ze tří hlavních indexů databáze. Americká televize CNN pravost více než dvou desítek náhodných záznamů ověřila a tvrdí, že data jsou pravá.

Podle webu LeakIX, který se detekcí odhalených databází na internetu zabývá, byl rozsáhlý soubor veřejně přístupný, a to prostřednictvím nezabezpečené zkrácené webové adresy. Ta nabízí neomezený přístup komukoli, kdo o ní ví. K databázi se šlo podle serveru tímto způsobem dostat od dubna 2021 a k omezení došlo až poté, co se nabídka objevila na internetu.

Džin se nevrátí do lahve

Prodejce také napsal, že nezabezpečenou databázi provozovala společnost Alibaba Cloud, dceřiná společnost čínského giganta v oblasti elektronického obchodování Alibaba.

Odborníci, s nimiž web CNN hovořil, však uvedli, že na vině je vlastník dat, nikoli společnost, která je hostuje.

„V současné době se domnívám, že se jedná o dosud největší únik veřejných informací – rozhodně pokud jde o rozsah dopadu v Číně, mluvíme zde o většině populace,“ řekl Troy Hunt, regionální ředitel společnosti Microsoft.

„Je to tak trochu případ, kdy se džin nebude moci vrátit zpět do lahve. Jakmile jsou jednou údaje venku v takové podobě, v jaké se nyní zdají být, není cesty zpět,“ pokračoval.

V Číně žije 1,4 miliardy lidí, únik dat by se tak mohl potenciálně týkat více než 70 procent obyvatel.

K datům mohl kdokoli

Vinny Troia, výzkumník v oblasti kybernetické bezpečnosti a zakladatel společnosti Shadowbyte, jež se zabývá zpravodajstvím z temného webu, pro CNN uvedl, že databázi poprvé objevil „někdy v lednu“ při hledání otevřených databází na internetu.

„Stránka, na které jsem ji našel, je veřejná, může se k ní dostat kdokoli, stačí si jen zaregistrovat účet,“ řekl Troia. „Vzhledem k tomu, že byla otevřena v dubnu 2021, mohl si data stáhnout libovolný počet lidí,“ dodal.

Troia uvedl, že si stáhl jeden z hlavních indexů databáze, který podle všeho obsahuje informace téměř o 970 milionech čínských občanů. Bylo však podle něj těžké posoudit, zda byl otevřen přístup ze strany majitelů databáze nedopatřením, nebo zda šlo o záměrnou zkratku určenou ke sdílení mezi malým počtem lidí.

„Buď na ni zapomněli, nebo ji nechali záměrně otevřenou, protože je pro ně snadnější se k ní dostat. Nevím, proč by to dělali. Zní to velmi nedbale,“ řekl Troia.

O příspěvku čínského hackera se o víkendu hojně diskutovalo také na čínských sociálních sítích Weibo a WeChat. Mnoho uživatelů sdílelo obavy, že by hackerský útok mohl být skutečný. Hashtag „únik dat“ byl v neděli odpoledne na Weibu zablokován.

Stále častější problém

Nezabezpečené osobní údaje – odhalené v důsledku úniku, narušení nebo nějaké formy nekompetentnosti – jsou stále častějším problémem, s nímž se potýkají společnosti a vlády po celém světě.

Troia například uvedl, že v roce 2018 marketingová firma se sídlem na Floridě na veřejně přístupném serveru měla k dispozici téměř 2 terabyty dat. Data podle všeho obsahovala osobní údaje o stovkách milionů dospělých Američanů, uvedl web Wired.

V roce 2019 našel nizozemský výzkumník v oblasti kybernetické bezpečnosti Victor Gevers podle agentury Reuters online databázi obsahující jména, čísla občanských průkazů, data narození a údaje o poloze více než 2,5 milionu lidí v čínském regionu Sin-ťiang na dálném západě země, kterou čínská firma SenseNets Technology nechala několik měsíců nechráněnou.

Podle výzkumníků v oblasti kybernetické bezpečnosti je však nejnovější únik dat obzvláště znepokojivý, a to nejen kvůli jeho potenciálně bezprecedentnímu objemu, ale také kvůli citlivé povaze obsažených informací.

Analýza vzorku databáze, kterou provedla CNN, odhalila policejní záznamy o případech z období téměř dvou desetiletí od roku 2001 do roku 2019. Většina záznamů se týká občanskoprávních sporů, ale jsou zde i záznamy o trestních případech od podvodů až po znásilnění.

„Je těžké oddělit pravdu od fám, ale pokud by materiál, o kterém hacker tvrdil, že pochází od ministerstva státní bezpečnosti, byl pravý, znamenalo by to problém hned z několika důvodů. Nejspíše by se incident zapsal jako největší a nejzávažnější narušení bezpečnosti dat v historii,“ uvedla na Twitteru vedoucí výzkumu Kendra Schaeferová z pekingské poradenské společnosti Trivium China.

Tvrzení o hackerském útoku přichází navíc v době, kdy Čína slíbila zlepšit ochranu soukromí uživatelů v online prostředí. V důsledku stížností veřejnosti na špatnou správu a zneužívání dat nařídila svým technologickým firmám, aby zajistily bezpečnější ukládání dat.

V loňském roce Čína přijala nové zákony upravující způsob nakládání s osobními údaji a daty vytvořenými na jejím území.

Doporučované