Bilgisayar korsanları, Çin’deki 1 milyar kişinin polis verilerini hacklediğini iddia ediyor

Hackerlar, Şanghay polis veri tabanından 1 milyar Çinli vatandaşın kişisel verilerini hacklediklerini ve bunları satışa çıkardıklarını söylüyorlar.

Geçen hafta bir yeraltı hacker forumunda bir gönderide, isimsiz bir poster veya grup, veri kullanılabilirliğini lanse etti ve 750.000 giriş içerdiği iddia edilen bir örnek yayınladı. 23 terabaytlık veritabanının tamamı için istenen fiyat 10 bitcoin veya yaklaşık 200.000 dolardı. Gönderi daha sonra site tarafından engellendi.

Veriler arasında isimler, ulusal kimlik ve telefon numaraları, tıbbi kayıtlar, polis raporlarından ayrıntılar ve diğer bilgiler yer aldı. Veritabanının tamamı doğrulanmamış olsa da, Posta’nın bazı kimlik numaralarını doğrulaması, hükümetin web sitesinde bulunan bilgilerle eşleşiyor gibi görünüyordu.

sözde bilgisayar korsanları 1990’ların sonundan 2019’a kadar hırsızlıktan kavgalara ve aile içi şiddete kadar birkaç milyar vaka raporu ve 1 milyar Çin vatandaşının kayıtları olduğunu söyledi. Kimliği doğrulanırsa, veritabanı Çin’in 1,4 milyar nüfusunun %70’inden fazlasını kapsayacak. Kişisel bilgiler ve olay raporları ayrı dosyalarda tutuldu.

Ölçeğe rağmen, hükümet mağdurlara sızıntı hakkında bilgi vermedi. Çin’de yaygın olarak kullanılan Twitter benzeri bir platform olan Weibo’da, “veri sızıntısı” veya “Şanghay polis veritabanı” aramaları, bilgisayar korsanlığıyla ilgili herhangi bir sonuç döndürmedi. Bir Etkilenen kişi, The Post ile yaptığı röportajda, kendisiyle bağlantılı olan kasetin ayrıntılarını doğruladı, ancak sızıntıdan habersizdi.

Analiz: İşte büyük Şanghay polisi sızıntısı hakkında dört önemli soru

İhlal, Çin’in kişisel bilgileri işleyen kurumsal ve devlet kurumlarına sıkı güvenlik önlemleri uygulayan Kişisel Bilgilerin Korunması Yasası’nın geçen yıl yürürlüğe girmesinden sonra geldi. Yasa, Çinli düzenleyicilerin 40’tan fazla şirkete değişiklik yapma talimatı vermesinin ardından kabul edildi. Reuters, veri ihlallerine yönelik operasyonlarının bilgili.

Trivium Çin’in Çin Odaklı Araştırma Grubu Teknoloji Politikası Araştırma Başkanı Kendra Schaefer: bir tweette söyledi Pazartesi günü, olay yeni yasa uyarınca bir devlet kurumu tarafından yapılan ilk büyük kamu ihlaliydi. Dolayısıyla kimin kimden sorumlu olduğu belli değil” dedi. Kamu Güvenliği Bakanlığı (MSP) genellikle siber suç soruşturmalarını denetler.

Schaefer, “Kayıtların ayrıca çocuk davalarının ayrıntılarını da içerdiği iddia ediliyor” dedi. “Yani bu, Çocuk Koruma Yasası’nın ihlali olur.” Verilerin ünlüler veya yetkililer hakkında bilgi içerdiğini öne sürdü.

Yayınlanan örnek veri setinde, MSP tarafından şüpheli suç faaliyeti için izlenen bireyler anlamına gelen “yedi kilit birey kategorisi”nde listelenen bireylerle belirli bilgiler ilişkilendirildi.

Eyalet departmanları, Şanghay hükümeti ve Şanghay Polis Departmanı yorum taleplerine yanıt vermedi.

Bununla birlikte, dosyaların yasa yürürlüğe girmeden önce çevrimiçi olması da mümkündür – ancak iddia edilen bilgisayar korsanı onları çevrimiçi olarak yayınladıktan sonra kamuoyunun dikkatine geldiler. Siber güvenlik araştırmacısı Winnie Troy CNN’e anlattı Ocak ayında veritabanını Nisan 2021’de açılan halka açık bir web sitesinde öğrendiğini, yani o andan itibaren herkesin veritabanına erişebileceğini söyledi.

Ayrıca hükümet personelinin, geliştiricilerin kod paylaşabileceği Çin Yazılım Geliştiricileri Forumu’ndaki bir blog gönderisinde veritabanına erişmek için gereken kimlik bilgilerini yanlışlıkla eklediğine dair spekülasyonlar da var. Kripto para borsası Binance CEO’su Changpeng Zhao, bu teoriye atıfta bulundu. cıvıldamak Pazartesi gününde. Şirketin, potansiyel olarak etkilenen kullanıcılar için “zaten hızlandırılmış kontroller” yaptığını söyledi.

İsmi açıklanmayan poster, veritabanının Çinli e-ticaret devi Alibaba Group’un bir yan kuruluşu olan AliCloud tarafından barındırıldığını iddia etti. AliCloud gibi büyük teknoloji şirketleriyle ilişkili bulut sağlayıcıları, genellikle devlet kurumları için dijital altyapı oluşturur.

Alibaba Group, yorum talebine yanıt vermedi.

Ancak güvenlik çözümleri sağlayıcısı HardenedVault’un CEO’su Sean Chang, teoriyi inandırıcı bulmadı. Şanghay bir şehirdir [with] 250 milyon nüfus. alicloud zor [to use] tüm polis sistemi için tek bir anahtar” dedi. İhlalin, kimlik doğrulama sürecini geçemeyen merkezi anahtar yönetim hizmetleri gibi başka bir yerde olabileceğini de sözlerine ekledi.

Web güvenlik danışmanı Troy Hunt, satışı teklif eden kişinin kimliğinin açıklanmasının yanı sıra veritabanının boyutunun da doğruluğu hakkında soru işaretleri yarattığını söyledi. Büyük bir ödeme talep etmenin, iddianın abartılmış veya tahrif edilmiş olma olasılığını da artırdığını da sözlerine ekledi.

Ancak veriler aynı zamanda güvenilirdi, çünkü “bu çok benzersiz bir bilgi sınıfı” dedi Hunt. Diğer veri ihlallerinde görülen, çevrimiçi bir formu doldururken kendi bildirdiği adların ve telefon numaralarının aksine, bunlar “gerçekten sadece tek bir yerde olacak” polis raporlarıydı.

Çin’deki devlet kurumlarının veri sistemlerini yanlış yönettiği bir sır değil. Chang, “Çin hükümetinin sorunu, tüm vatandaşların verilerini kamu hizmeti platformlarında toplaması ve bunun veri ihlalinden sonra ciddi sonuçları olması” dedi. Nereye giderseniz gidin, bilgilerinizi vermeniz gerekir. Bu verileri yönetmenin sistematik bir yolu. Özel şirketler de verileri yönetmede kötü ama hükümetten daha iyi.”

Bu yılın başlarında, bir araştırmacı bir önbellek aldı. belgeler Bölgedeki acımasız gözetim ve yeniden eğitim yöntemlerini detaylandıran ve Pekin’in Uygur nüfusuna uyguladığı baskıya ışık tutan Xinjiang Polisinden.

Leave a Comment

Share via
Copy link
Powered by Social Snap