Haker o nazwie użytkownika „XJP” zamieścił w środę na forum hakerskim Breach Forums ofertę sprzedaży danych za 4 tys. dolarów. Udostępnił próbkę danych, w tym numery telefonów, nazwiska i chińskie numery identyfikacyjne oraz status kodu zdrowotnego 47 osób.

Jedenaście z 47 osób, do których dotarła agencja Reutera, która jako pierwsza doniosła o sprawie, potwierdziło, że zostały wymienione w próbce, chociaż dwa powiedziały, że ich numery identyfikacyjne były błędne.

Zobacz również:

• Aplikacja ChatGPT wkroczyła oficjalnie do sklepu Google Play
• Alibaba udostępnia publicznie model sztucznej inteligencji Tongyi Qianwen

„Ta baza danych zawiera każdego, kto mieszka w lub odwiedził Szanghaj od czasu przyjęcia Suishenma”, napisał XJP w poście, który pierwotnie poprosił o 4,850 dolarów przed obniżeniem ceny później w ciągu dnia.

Suishenma to chińska nazwa systemu kodów zdrowotnych Szanghaju, który 25-milionowe miasto, podobnie jak wiele innych w całych Chinach, ustanowiło na początku 2020 roku, aby zwalczyć rozprzestrzenianie się COVID-19. Wszyscy mieszkańcy i goście muszą go używać.

Aplikacja zbiera dane z podróży, aby nadać ludziom czerwoną, żółtą lub zieloną ocenę wskazującą na prawdopodobieństwo posiadania wirusa, a użytkownicy muszą pokazać kod, aby wejść do miejsc publicznych.

Dane są zarządzane przez rząd miasta, a użytkownicy uzyskują dostęp do Suishenma za pośrednictwem aplikacji Alipay, należącej do giganta fintech Alibaba, Ant Group, oraz aplikacji WeChat firmy Tencent Holdings.

XJP, rząd Szanghaju, Ant i Tencent nie odpowiedziały na prośby o komentarz przesłane przez agencję Reutera.

Domniemane naruszenie Suishenma następuje po tym, jak na początku ubiegłego miesiąca haker powiedział, że zdobył 23 terabajty danych osobowych należących do miliarda obywateli Chin od policji w Szanghaju. Haker ten zaoferował również sprzedaż tych danych na Breach Forums.

„Wall Street Journal”, powołując się na badaczy cyberbezpieczeństwa, napisał, że pierwszy haker był w stanie wykraść dane z policji, ponieważ pulpit do zarządzania policyjną bazą danych został pozostawiony otwarty w publicznym internecie bez ochrony hasłem przez ponad rok. Gazeta podała, że dane były hostowane na platformie chmurowej Alibaby, a władze Szanghaju wezwały w tej sprawie kierownictwo firmy.

Ani rząd Szanghaju, ani policja, ani Alibaba nie skomentowały sprawy policyjnej bazy danych.

Źródło: Reuters