Un hacker afferma di aver ottenuto le informazioni personali di 48,5 milioni di utenti di un’app mobile sanitaria COVID gestita dalla città di Shanghai, la seconda affermazione di violazione della finanziaria cinese i dati dell’hub in poco più di un mese.
L’hacker con il nome utente”XJP”ha pubblicato un’offerta per vendere i dati per $ 4.000 sul forum degli hacker Breach Forums.
La persona ha fornito un campione dei dati, inclusi numeri di telefono, nomi, numeri di identificazione cinesi e stato del codice sanitario di 47 persone.
Undici delle 47 persone raggiunte da Reuters hanno confermato di essere elencate nel campione, anche se due hanno affermato che i loro numeri di identificazione erano sbagliati. La Reuters non è stata in grado di verificare ulteriormente l’autenticità dell’affermazione dell’hacker.
La vera dimensione e natura di questo tipo di hack di dati a volte viene sopravvalutata dal venditore nel tentativo di realizzare un rapido profitto.
“Questo DB (database) contiene tutti coloro che vivono o hanno visitato Shanghai dall’adozione di Suishenma”, ha affermato XJP nel post, che originariamente chiedeva $ 4.850 prima di abbassare il prezzo più tardi lo stesso giorno.
Suishenma è il nome cinese del codice sanitario di Shanghai, che la città di 25 milioni di persone ha istituito all’inizio del 2020 per combattere la diffusione del COVID-19. Tutti i residenti e i visitatori devono usarlo.
L’app raccoglie i dati di viaggio per fornire agli utenti una valutazione rossa, gialla o verde che indica la probabilità di contrarre il virus. Il codice deve essere mostrato per entrare in luoghi pubblici.
I dati sono gestiti dal governo cittadino e gli utenti possono accedere a Suishenma sia scaricando l’app che aprendola utilizzando l’app Alipay, di proprietà del gigante fintech e di Alibaba affiliato Ant Group e l’app WeChat di Tencent Holdings.
XJP, il governo di Shanghai, Ant e Tencent non hanno risposto immediatamente alle richieste di commento.
La presunta violazione di Suishenma arriva dopo che un hacker il mese scorso ha affermato di aver procurato 23 terabyte di informazioni personali appartenenti a un miliardo di cittadini cinesi dalla polizia di Shanghai.
Quell’hacker si è anche offerto di vendere i dati sui forum di violazione.
Il primo hacker è stato in grado di rubare dati dalla polizia poiché una dashboard per la gestione di un database di polizia era stata lasciata aperta su Internet pubblico senza protezione tramite password da più di un anno, ha riportato il Wall Street Journal, citando i ricercatori sulla sicurezza informatica.
Il quotidiano ha affermato che i dati erano ospitati sulla piattaforma cloud di Alibaba e le autorità di Shanghai avevano convocato i dirigenti dell’azienda per il questione.
Né il governo di Shanghai, né la polizia, né Alibaba hanno commentato la questione del database della polizia.
Negli ultimi due anni gli organismi di regolamentazione cinesi hanno annunciato una raffica di nuove regole rafforzamento del controllo sulla gestione dei dati degli utenti da parte del settore privato, dopo anni di reclami da parte dei residenti su come i loro dati personali potrebbero essere facilmente rubati o venduti.
Uno screenshot dell’offerta di XJP sui forum di violazione è diventato virale sui social media cinesi venerdì, spingendo diversi utenti Weibo a soppesare questa ultima fuga di notizie e le sue implicazioni più ampie, oltre a chiedersi che tipo di azione sarebbe prese.
“Le fughe di dati in Cina non sono più rare”, ha affermato uno.
FacebookTwitterLinkedin