Иллюстрация: pixebay.com
Информация о миллиарде граждан страны выставлены на продажу.
Если не самая крупная, то точно одна из крупнейших в истории утечек персональных данных произошла на прошлой неделе в Китае. В даркнете на продажу была выставлена база данных с информацией о миллиарде граждан страны с указанием полных имен, дат рождений, номеров паспортов, адресов и телефонов, а также при наличии – информации о совершенных правонарушениях. Весь архив данных «весит» 23 Тб. Просили за него 10 биткоинов (по текущему курсу — +/- $200 тыс.).
Как все было
Предложение опубликовал некто с ником ChinaDan на портале хакеров Breach Forums. В качестве образца он представил фрагмент на 75 тыс. записей. В своем посте он уточнил, что утечку базы данных допустила Национальная полиция Шанхая в текущем (2022) году, т.е. информация в ней содержится самая актуальная. Тесты пользователей и различных аналитиков позволили говорить, что данные реальные и действительно касаются самого широкого круга граждан Китая. Администраторы форума закрыли обсуждение этого предложения в воскресенье. Некоторые интернет-издания пишут, что за этот архив было предложено 6 биткоинов (116 000 долларов США).
Учитывая, что население Китая сегодня немногим менее 1,6 млрд, в утекшей базе есть сведения о ⅔ гражданах страны. А в планетарном масштабе миллиард учетных записей – это каждый 8-й житель Земли.
Почему это случилось
Говоря о происхождении данных, злоумышленник указал, что они были украдены из облачного хранилища Aliyun (Alibaba Cloud), которым использует китайская полиция. К этой версии склоняются и многие эксперты.
В медийном пространстве об инциденте стало известно с подачи основателя и гендиректора криптовалютной биржи Binance Чанпэн Чжао: в своем Твиттере он объявил о выставленном на продажу архиве, который обнаружили его сотрудники из отдела отслеживания угроз. Они же предположили, что утечка произошла из базы данных ElasticSearch (популярная система для хранения больших массивов данных с возможностью поиска), случайно оставленной без защиты. Позже Чжао опубликовал пост о еще одном вероятном варианте развития событий: один из разработчиков в своем блоге на CSDN (крупная китайская соцсеть для разработчиков) описывал особенности переноса базы данных, и при этом случайно указал данные своей учетной записи (которой, вероятно, и воспользовались злоумышленники).
Что будет дальше?
От властей Шанхая (и полицейских, и гражданских) пока никаких комментариев не поступило.
Между тем, в Китае с ноября прошлого (2021) года действует новый закон о защите персональных данных – его называют аналогом европейского GDPR. Согласно ему, допустившим утечку грозят штрафы и наказания. Однако по части градаций тяжести преступлений и применения в соответствии с этим наказаний четких формулировок нет, так что, вероятно, это дело станет еще и прецедентным для Китая в части правоприменения нового закона.
