Discussion :

[Bruno]

Une base de données chinoise volée est en vente sur un forum de discussion,
alors que le gouvernement est resté silencieux, les plateformes Weibo et WeChat ne l'étaient pas

Un cybercriminel a proposé sur un forum d'informations et de discussions sur les violations de données de vendre ce qu'il affirme être une base de données contenant des enregistrements de plus d'un milliard de civils chinois, prétendument volés à la police de Shanghai. Au cours du week-end, des rapports ont commencé à faire état d'un message posté sur un forum de Breached.to. « En 2022, la base de données de la police nationale de Shanghai (SHGA) a été divulguée. Cette base de données contient plusieurs TB de données et d'informations sur des milliards de citoyens chinois. »

HackerDan a proposé de vendre le lot pour 10 bitcoins soit environ 200 000 dollars. Il a publié des échantillons de données : l'un contient des adresses de livraison et souvent des instructions pour les conducteurs ; un autre contient des dossiers de police ; et le dernier contient des informations d'identification personnelle comme le nom, le numéro d'identification national, l'adresse, la taille et le sexe.

La Chine dispose d'une police nationale, qui a sans doute un bureau à Shanghai. Mais il est difficile de trouver une entité appelée « police nationale de Shanghai ». Les médias ont néanmoins pu vérifier que le contenu de l'échantillon quelle qu'en soit la source est fiable.

Alors que le gouvernement et le département de la police de Shanghai sont restés largement silencieux sur la fuite, les plateformes de médias sociaux Weibo et WeChat ne l'étaient pas, du moins jusqu'à dimanche après-midi, lorsque les utilisateurs de Weibo ont commencé à avoir des hashtags bloqués liés à la fuite de données.

En 2020 déjà, un universitaire américain a révélé l'existence d'une base de données de 2,4 millions de personnes qui, selon lui, avait été compilée par une société chinoise connue pour fournir des informations à des agences de renseignement, militaires et de sécurité. Le chercheur avait allegué que le but de la base de données etait de permettre la conduite d'opérations d'influence contre des personnes éminentes et influentes en dehors de la Chine.

Son nom est Chris Balding, professeur associé à l'Université Fulbright du Vietnam.

Selon lui, l'entreprise en question s'appelle « Shenzhen Zhenhua ».

Le chercheur en sécurité Robert Potter et Balding ont co-écrit un article affirmant que cette base de données est baptisée « Overseas Key Information Database » (OKIDB) et que si la plupart d'entre ces données auraient pu être extraites des médias sociaux ou d'autres sources accessibles au public, 10 à 20% de ces informations ne semblent provenir d'aucune source publique d'information. Les co-auteurs n'excluent pas le piratage comme source de ces données, mais affirment également qu'ils ne peuvent trouver aucune preuve d'une telle activité.

« Un objectif fondamental semble être la guerre de l'information », ont déclaré les deux hommes.

Lundi, une voix inhabituelle s'est jointe à l'analyse de l'événement actuel : Changpeng Zhao, le PDG de la bourse de cryptomonnaies Binance. Zhao s'est exprimé sur Twitter en ces termes : « Nos services de renseignement sur les menaces ont détecté un milliard de dossiers de résidents à vendre sur le dark web, y compris le nom, l'adresse, l'identité nationale, les numéros de téléphone mobile, les dossiers de police et les dossiers médicaux d'un pays asiatique. Probablement dû à un bug dans le déploiement d'Elastic Search par une agence gouvernementale. »

Il a ensuite tweeté à nouveau, cette fois en affirmant que « cet exploit s'est produit parce que le développeur de gov a écrit un blog technique sur CSDN et a accidentellement inclus les informations d'identification ».

Quelle que soit la source de la fuite, elle va fortement contrarier la Chine. Le gouvernement du pays a récemment donné la priorité à la protection des données personnelles et à la sécurité des infrastructures critiques. La Chine place le consentement continu au centre de la loi sur la protection des données. La réglementation qui entrera en vigueur le 1er novembre donnera même à votre famille des droits sur vos données après votre départ de l'hôpital.

La Chine a adopté une loi qui, selon les autorités, « perfectionne » les dispositions existantes en matière de protection des données personnelles.
La nouvelle « loi sur la protection des informations personnelles de la République populaire de Chine » est entrée en vigueur le 1er novembre 2021. Elle comprend huit chapitres et 74 articles qui énoncent des mesures à la fois strictes et vagues sur la manière dont les données sont collectées et gérées, sur les droits des individus et sur l'identité du propriétaire final des données.

C'est ce qu'a déclaré l'Administration chinoise. Sur la base des lois pertinentes, la loi affine et perfectionne les principes et les règles de traitement des informations personnelles à suivre dans la protection des informations personnelles, clarifie les limites des droits et obligations dans les activités de traitement des informations personnelles, et améliore les systèmes et mécanismes de travail pour la protection des informations personnelles.

Le document décrit les processus normalisés de traitement des données, définit les règles relatives aux big data et aux opérations à grande échelle, réglemente les personnes qui traitent les données, traite des données qui circulent au-delà des frontières et décrit l'application juridique de ses dispositions. Il précise également que les organismes d'État ne sont pas à l'abri de ces mesures.

L'Administration chinoise affirme que le consentement à la collecte de données est au cœur des lois chinoises et que la nouvelle législation exige un consentement préalable continu, à jour et pleinement informé de l'individu. Les parties qui recueillent des données ne peuvent pas exiger des informations excessives ni refuser des produits ou des services si l'individu s'y oppose.

La personne dont les données sont collectées peut retirer son consentement, et le décès ne met pas fin aux responsabilités du collecteur d'informations ni aux droits de la personne, il ne fait que transmettre le droit de contrôler les données à la famille du sujet décédé. Les responsables du traitement des informations doivent également prendre « les mesures nécessaires pour garantir la sécurité des informations personnelles traitées » et sont tenus de mettre en place des systèmes de gestion de la conformité et des audits internes.

Pour collecter des données sensibles, comme les données biométriques, les croyances religieuses et les comptes médicaux, sanitaires et financiers, les informations doivent être nécessaires et protégées. Avant la collecte, il doit y avoir une évaluation d'impact, et l'individu doit être informé de la nécessité des données collectées et de leur impact sur les droits personnels.

Il est intéressant de noter que la loi cherche à empêcher les entreprises d'utiliser le big data pour s'attaquer aux consommateurs. Par exemple en fixant le prix des transactions ou pour tromper ou frauder les consommateurs sur la base de caractéristiques ou d'habitudes individuelles. En outre, les plateformes de réseaux à grande échelle doivent établir des systèmes de conformité, rendre compte publiquement de leurs efforts et externaliser les mesures de protection des données. Selon une annonce de l'Administration du cyberespace de Chine (CAC), les cyberattaques sont actuellement fréquentes dans l'Empire du Milieu, et les infrastructures d'information critiques sont confrontées à de graves problèmes de sécurité.

La CAC a qualifié les infrastructures critiques de « centre nerveux des opérations économiques et sociales et de priorité absolue de la sécurité des réseaux ». La définition chinoise des infrastructures d'information critiques se résume à tout système susceptible de subir des dommages importants à la suite d'une cyberattaque, et/ou de voir une telle attaque porter atteinte à la société en général, voire à la sécurité nationale.

Source : Breach

Et vous ?

Quel est votre avis surle sujet ?

Voir aussi :

Une base de données d'une entreprise chinoise donne des détails sur 2,4 millions de personnes influentes et leurs proches parents. Shenzhen Zhenhua fournit des infos à des agences de renseignement

Un administrateur informatique en colère efface les bases de données de son employeur et écope de 7 ans de prison

[Invité]

Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.

[OrthodoxWindows]

Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.

Une chose qui est certaine, c'est que ce serait bien si cette fuite pouvait contribuer à affaiblir le régime chinois (je ne minimise cependant pas les conséquences individuelles sur les victimes).

[Stéphane le calme]

La Chine tente de censurer ce qui pourrait être le plus gros piratage de données de l'histoire.
Un pirate affirme détenir des informations sur 1 Md de citoyens chinois qu'il veut vendre pour environ 200 000 $

Les censeurs chinois font des heures supplémentaires pour réprimer les informations selon lesquelles les données qu'ils ont siphonnées à leurs citoyens au fil des ans sont apparemment disponibles et sont vendues à un prix inférieur au coût prévu d'un Tesla Roadster. Lundi, des rapports ont montré qu'un pirate identifié uniquement comme "ChinaDan" a déclaré aux membres du site de pirates Breach Forums qu'il avait acquis 23 téraoctets de données sur 1 milliard de citoyens chinois. Ce sont des données dont il est prêt à se séparer pour le bon prix. Combien valent les données personnelles de 1 milliard de personnes ? Apparemment, seulement 10 bitcoins, soit environ 200 000 $.

Un hacker non identifié vend plusieurs bases de données qui, selon lui, contiennent plus de 22 téraoctets d'informations volées sur environ 1 milliard de citoyens chinois pour 10 bitcoins. L'annonce a été publiée sur un forum de hackers par une personne utilisant le pseudo "ChinaDan", affirmant que les informations avaient fuité de la base de données de la police nationale de Shanghai (SHGA).

Sur la base des informations qu'il a partagé concernant les données prétendument volées, les bases de données contiennent les noms, adresses, numéros d'identification nationaux, numéros d'informations de contact et plusieurs milliards de casiers judiciaires des résidents nationaux chinois.

ChinaDan a également partagé un échantillon de 750 000 enregistrements contenant des informations de livraison, des informations d'identification et des enregistrements d'appels de la police. Ces enregistrements permettraient aux acheteurs intéressés de vérifier que les données à vendre ne sont pas fausses.

« En 2022, la base de données de la police nationale de Shanghai (SHGA) a fuité. Cette base de données contient de nombreux To de données et d'informations sur des milliards de citoyens chinois », a déclaré l'individu dans son message la semaine dernière. « Les bases de données contiennent des informations sur 1 milliard de résidents nationaux chinois et plusieurs milliards d'enregistrements de cas, notamment*: nom, adresse, lieu de naissance, numéro d'identification national, numéro de téléphone portable, détails de tous les crimes / cas ».

L'individu a confirmé que les données avaient été exfiltrées d'un cloud privé local fourni par Aliyun (Alibaba Cloud), qui fait partie du réseau de la police chinoise (alias réseau de sécurité publique).

Dimanche, le PDG de Binance, Zhao Changpeng, a confirmé que les experts en renseignement sur les menaces de son entreprise avaient repéré les affirmations de ChinaDan et a déclaré que la fuite était probablement due à une base de données ElasticSearch qu'une agence gouvernementale chinoise a accidentellement exposée en ligne.

«*Nos informations sur les menaces ont détecté 1*milliard d'enregistrements de résidents à vendre sur le dark*Web, y compris le nom, l'adresse, la carte d'identité nationale, le numéro de téléphone mobile, les dossiers de police et médicaux d'un pays asiatique. Probablement en raison d'un bogue dans un déploiement d'Elastic Search par une agence gouvernementale », a déclaré Zhao. « Cela a un impact sur les mesures de détection/prévention des pirates, les numéros mobiles utilisés pour les prises de contrôle de compte, etc. »

Zhao a ajouté plus tard « qu'apparemment, cet exploit s'est produit parce que le développeur gouvernemental a écrit un blog technique sur CSDN et a accidentellement inclus les informations d'identification ».

La journaliste du Wall Street Journal, Karen Hao, a contacté des dizaines de personnes dont les données auraient été volées suite à la violation et a déclaré que certaines d'entre elles avaient confirmé toutes les informations disponibles dans l'échantillon divulgué. « À ce stade, il est impossible de confirmer l'ampleur de la fuite de données, mais cinq des personnes dont les données ont été récupéré ont confirmé tous les détails des informations associées à leur nom - des informations qu'il serait difficile d'obtenir d'une source autre que la police », a déclaré Hao. « Les quatre autres ont confirmé des informations de base comme leurs noms avant de raccrocher ».

La réaction du gouvernement

La fuite a suscité pas mal de critiques parmi lesquelles celles qui estiment que le nombre de personnes affecté est probablement exagérée, d'autant plus que le nombre total de cette base de données de la police de Shanghai ne serait que de 400 millions de moins que la population totale de toute la Chine, 1,4 milliard.

Le gouvernement chinois n'a fait aucune mention officielle du piratage aux journalistes, à la télévision ou en ligne. D'autres rapports ont montré à quel point Pékin ne veut pas que ses citoyens parlent de la violation. Le Financial Times a rapporté que les censeurs du gouvernement ont supprimé des publications sur les réseaux sociaux chinois qui osaient même mentionner la fuite présumée.

FT a écrit que Weibo, essentiellement la version chinoise de Twitter, et WeChat censuraient déjà toute mention de hashtags contenant « fuite de données » ou « violation de base de données ». Les censeurs ont bloqué les publications existantes et auraient même demandé à au moins un individu avec une grande communauté (de nombreux abonnés) de se présenter pour un interrogatoire. Le NYT a rapporté que les médias d'État chinois ont été muets sur les nouvelles du piratage.

Le pirate a écrit que les données provenaient de la société d'informatique cloud Aliyun qui, selon eux, héberge la base de données de la police de Shanghai.

Le New York Times a pu confirmer la véracité de l'échantillon original contenant les informations personnelles de 250 000 citoyens. Les journalistes ont appelé des personnes répertoriées dans la base de données qui ont apparemment confirmé qui elles étaient et tous les rapports de police antérieurs qu'elles auraient déposés - qui incluaient également si une personne était qualifiée de « personne clé » par la sécurité publique, ce qui facilite le signalement de ses activités dans l'état de surveillance plus large du pays.

Le Wall Street Journal a également appelé quelques-uns des noms et numéros contenus dans l'échantillon plus large de 750 000, où cinq de ces personnes ont également confirmé que des données seraient difficiles à obtenir si elles n'étaient pas recueillies par la police. Certains numéros que le Journal a essayés n'étaient plus valides, bien que les journalistes aient noté que les citoyens chinois changeaient souvent leurs numéros.

Un homme dans l'ensemble de données piraté, qui portait le nom de famille Wei, a déclaré au Journal après avoir appris que ses informations avaient été divulguées « Nous courons tous nus », une expression courante pour les résidents chinois pour dire qu'ils n'ont aucune vie privée.

Si les affirmations de ChinaDan s'avèrent exactes, il s'agirait de la violation de données la plus importante qui ait jamais touchée par la Chine et l'une des plus importantes de l'histoire. 2022 s'est déjà avérée une grande année pour les violations de données dans les entreprises multinationales ainsi que les gouvernements.

Sources : Financial Times, PDG Binance, NYT

Et vous

Son affirmation selon laquelle il détient des informations sur un milliard de citoyens obtenues sur une base de données de la police vous semble-t-elle crédible ou exagérée ? Dans quelle mesure ?
Quelles implications potentielles voyez-vous en fonction du type de profil disposé à racheter les informations (cybercriminels, pays « adversaires », etc.) ?

Voir aussi :

Une base de données d'une entreprise chinoise donne des détails sur 2,4 millions de personnes influentes et leurs proches parents. Shenzhen Zhenhua fournit des infos à des agences de renseignement

Un administrateur informatique en colère efface les bases de données de son employeur et écope de 7 ans de prison

[tatayo]

Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.

Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.

[Coeur De Roses]

Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.

Et ouai, quand il s'agit des données des autres, certains n'ont pas vraiment de considération, excepté s'il s'agit de leur propre données.

[Invité]

Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.

Bien au contraire, ça m'intéresserait beaucoup de savoir ce que la police sait sur moi, si je suis une personne "clé" ou pas, si je risque de disparaitre au milieu de la nuit, etc...

[Invité]

Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.

J'ajoute une chose : aucune base de données n'est sûre à 100%. Par sécurité il faut partir du principe que toute donnée sensible détenue par autrui est vouée à fuiter, tôt ou tard.

Le vrai problème dans cette histoire, c'est que la police chinoise se soit permise de récolter autant d'informations sur les citoyens à la base.

[nadjim]

Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.

Sincèrement vous êtes vraiment exaspérants, comme si vous étiez obligés de parler de leak alors que le terme fuite existe. Cela devient lassant de voir de l'anglais pour tout et n'importe quoi. Leaker est même devenu un verbe qu'on se permet de conjuguer en français.

[totozor]

Bien au contraire, ça m'intéresserait beaucoup de savoir ce que la police sait sur moi

J'avoue que ça me titille aussi, par contre ça me titille beaucoup moins que tout le monde y ai accès, même s'il n'y a probablement pas grand chose à apprendre ça reste ma vie privée.

si je suis une personne "clé" ou pas, si je risque de disparaitre au milieu de la nuit, etc...

rassurez vous, les réponses sont non et non, si c'était le cas vous le sauriez déjà

Sincèrement vous êtes vraiment exaspérants, comme si vous étiez obligés de parler de leak alors que le terme fuite existe.[...]

La police de la francophonie est autant fatiguante, la langue évolue et son utilisation avec.
Et de mon point de vue (et je me trompe peut être), dans se cadre, leak est une fuite massive de données particulièrement sencibles.
Ainsi, utiliser leak permet de préciser la gravité de la fuite en évitant d'en faire tout une phrase.