Un pirate informatique vole les dossiers d’un milliard de personnes dans le cadre d’une violation de données sans précédent
Un hacker anonyme a déclaré avoir réussi à infiltrer la base de données du département de police de Shanghai. Ce faisant, il a apparemment extrait des informations personnelles d'un milliard de citoyens chinois.
L'individu, « ChinaDan », a assumé l'entière responsabilité de la violation de données. Tel que rapporté par Reuters et PCMag , il a détaillé l'incident sur le forum des pirates Breach Forums.
Il offre actuellement l'énorme quantité d'informations pour 10 Bitcoins, ce qui se traduirait par environ 200 000 $ aux taux actuels. Les données susmentionnées auraient une taille égale à 23 téraoctets (To).
Dan a déclaré avoir obtenu les fichiers contenant les noms, adresses et numéros de téléphone portable de la base de données de la police nationale de Shanghai (SHGA).
Il aurait également réussi à accéder et à récupérer les lieux de naissance, les numéros d'identification nationaux et tous les cas de crime liés au milliard de citoyens, qui sont tous basés principalement en Chine.
Actuellement, Reuters n'a pas été en mesure de confirmer si la revendication du poste est bien réelle. Le gouvernement de Shanghai et son département de police n'ont pas encore commenté la situation depuis qu'elle s'est matérialisée plus tôt cette semaine.
Cela dit, Zhao Changpeng, PDG du populaire échange de crypto-monnaie Binance, a confirmé que la société avait intensifié ses processus de vérification des utilisateurs. Pourquoi? Son service de renseignement sur les menaces a détecté que ces enregistrements sont désormais vendus sur le dark web.
La fuite pourrait être attribuée à "un bug dans un déploiement d'Elastic Search par une agence (gouvernementale), a-t-il détaillé dans un tweet ". "Cela a un impact sur les mesures de détection/prévention des pirates, les numéros mobiles utilisés pour les prises de contrôle de compte, etc."
Il a poursuivi en affirmant qu'"apparemment, cet exploit s'est produit parce que le développeur gouvernemental a écrit un blog technique sur CSDN [le réseau de développeurs de logiciels chinois] et a accidentellement inclus les informations d'identification".
Kendra Schaefer, responsable de la recherche sur les politiques technologiques au sein du cabinet de conseil Trivium China, a déclaré que si les données étaient effectivement obtenues via le ministère de la Sécurité publique, elles seraient naturellement mauvaises pour "un certain nombre de raisons". De toute évidence, ce serait parmi [les] plus grandes et les pires violations de l'histoire », a-t-elle déclaré.
En effet, si la réclamation du pirate informatique est finalement vérifiée, alors le cyberincident serait probablement la plus grande violation de données de l'histoire.
Le message de ChinaDan lui-même génère déjà un nombre considérable de discussions sur la plate-forme chinoise de médias sociaux Weibo, ainsi que sur WeChat tout au long du week-end. En fait, le hashtag « fuite de données » a été bloqué sur Weibo dimanche après-midi, selon Reuters.
Ailleurs, un marché clandestin en ligne qui vendait les données personnelles d'environ 24 millions de citoyens américains a récemment été fermé. Les bénéfices du service, quant à eux, dépassent de loin le prix demandé par Dan de 200 000 dollars – depuis avril 2015, la société d'analyse de blockchain Chainalysis a confirmé avoir trouvé 22 millions de dollars dans les transactions Bitcoin récupérées par SSNDOB.
2022 a sans aucun doute été une année chargée pour les pirates en général. Il y a eu un certain nombre de situations sans précédent liées à la scène du piratage, allant de diverses fermetures telles que la mise hors ligne du plus grand marché du dark web, au lancement par Microsoft de sa propre initiative de cybersécurité pour lutter contre la montée en flèche de la cybercriminalité.