Un cybercriminel a proposé sur un forum d'informations et de discussions sur les violations de données de vendre ce qu'il affirme être une base de données contenant des enregistrements de plus d'un milliard de civils chinois, prétendument volés à la police de Shanghai. Au cours du week-end, des rapports ont commencé à faire état d'un message posté sur un forum de Breached.to. « En 2022, la base de données de la police nationale de Shanghai (SHGA) a été divulguée. Cette base de données contient plusieurs TB de données et d'informations sur des milliards de citoyens chinois. »
HackerDan a proposé de vendre le lot pour 10 bitcoins soit environ 200 000 dollars. Il a publié des échantillons de données : l'un contient des adresses de livraison et souvent des instructions pour les conducteurs ; un autre contient des dossiers de police ; et le dernier contient des informations d'identification personnelle comme le nom, le numéro d'identification national, l'adresse, la taille et le sexe.
La Chine dispose d'une police nationale, qui a sans doute un bureau à Shanghai. Mais il est difficile de trouver une entité appelée « police nationale de Shanghai ». Les médias ont néanmoins pu vérifier que le contenu de l'échantillon quelle qu'en soit la source est fiable.
Alors que le gouvernement et le département de la police de Shanghai sont restés largement silencieux sur la fuite, les plateformes de médias sociaux Weibo et WeChat ne l'étaient pas, du moins jusqu'à dimanche après-midi, lorsque les utilisateurs de Weibo ont commencé à avoir des hashtags bloqués liés à la fuite de données.
En 2020 déjà, un universitaire américain a révélé l'existence d'une base de données de 2,4 millions de personnes qui, selon lui, avait été compilée par une société chinoise connue pour fournir des informations à des agences de renseignement, militaires et de sécurité. Le chercheur avait allegué que le but de la base de données etait de permettre la conduite d'opérations d'influence contre des personnes éminentes et influentes en dehors de la Chine.
Son nom est Chris Balding, professeur associé à l'Université Fulbright du Vietnam.
Selon lui, l'entreprise en question s'appelle « Shenzhen Zhenhua ».
Le chercheur en sécurité Robert Potter et Balding ont co-écrit un article affirmant que cette base de données est baptisée « Overseas Key Information Database » (OKIDB) et que si la plupart d'entre ces données auraient pu être extraites des médias sociaux ou d'autres sources accessibles au public, 10 à 20% de ces informations ne semblent provenir d'aucune source publique d'information. Les co-auteurs n'excluent pas le piratage comme source de ces données, mais affirment également qu'ils ne peuvent trouver aucune preuve d'une telle activité.
« Un objectif fondamental semble être la guerre de l'information », ont déclaré les deux hommes.
Lundi, une voix inhabituelle s'est jointe à l'analyse de l'événement actuel : Changpeng Zhao, le PDG de la bourse de cryptomonnaies Binance. Zhao s'est exprimé sur Twitter en ces termes : « Nos services de renseignement sur les menaces ont détecté un milliard de dossiers de résidents à vendre sur le dark web, y compris le nom, l'adresse, l'identité nationale, les numéros de téléphone mobile, les dossiers de police et les dossiers médicaux d'un pays asiatique. Probablement dû à un bug dans le déploiement d'Elastic Search par une agence gouvernementale. »
Il a ensuite tweeté à nouveau, cette fois en affirmant que « cet exploit s'est produit parce que le développeur de gov a écrit un blog technique sur CSDN et a accidentellement inclus les informations d'identification ».
Quelle que soit la source de la fuite, elle va fortement contrarier la Chine. Le gouvernement du pays a récemment donné la priorité à la protection des données personnelles et à la sécurité des infrastructures critiques. La Chine place le consentement continu au centre de la loi sur la protection des données. La réglementation qui entrera en vigueur le 1er novembre donnera même à votre famille des droits sur vos données après votre départ de l'hôpital.
La Chine a adopté une loi qui, selon les autorités, « perfectionne » les dispositions existantes en matière de protection des données personnelles.
La nouvelle « loi sur la protection des informations personnelles de la République populaire de Chine » est entrée en vigueur le 1er novembre 2021. Elle comprend huit chapitres et 74 articles qui énoncent des mesures à la fois strictes et vagues sur la manière dont les données sont collectées et gérées, sur les droits des individus et sur l'identité du propriétaire final des données.
C'est ce qu'a déclaré l'Administration chinoise. Sur la base des lois pertinentes, la loi affine et perfectionne les principes et les règles de traitement des informations personnelles à suivre dans la protection des informations personnelles, clarifie les limites des droits et obligations dans les activités de traitement des informations personnelles, et améliore les systèmes et mécanismes de travail pour la protection des informations personnelles.
Le document décrit les processus normalisés de traitement des données, définit les règles relatives aux big data et aux opérations à grande échelle, réglemente les personnes qui traitent les données, traite des données qui circulent au-delà des frontières et décrit l'application juridique de ses dispositions. Il précise également que les organismes d'État ne sont pas à l'abri de ces mesures.
L'Administration chinoise affirme que le consentement à la collecte de données est au cœur des lois chinoises et que la nouvelle législation exige un consentement préalable continu, à jour et pleinement informé de l'individu. Les parties qui recueillent des données ne peuvent pas exiger des informations excessives ni refuser des produits ou des services si l'individu s'y oppose.
La personne dont les données sont collectées peut retirer son consentement, et le décès ne met pas fin aux responsabilités du collecteur d'informations ni aux droits de la personne, il ne fait que transmettre le droit de contrôler les données à la famille du sujet décédé. Les responsables du traitement des informations doivent également prendre « les mesures nécessaires pour garantir la sécurité des informations personnelles traitées » et sont tenus de mettre en place des systèmes de gestion de la conformité et des audits internes.
Pour collecter des données sensibles, comme les données biométriques, les croyances religieuses et les comptes médicaux, sanitaires et financiers, les informations doivent être nécessaires et protégées. Avant la collecte, il doit y avoir une évaluation d'impact, et l'individu doit être informé de la nécessité des données collectées et de leur impact sur les droits personnels.
Il est intéressant de noter que la loi cherche à empêcher les entreprises d'utiliser le big data pour s'attaquer aux consommateurs. Par exemple en fixant le prix des transactions ou pour tromper ou frauder les consommateurs sur la base de caractéristiques ou d'habitudes individuelles. En outre, les plateformes de réseaux à grande échelle doivent établir des systèmes de conformité, rendre compte publiquement de leurs efforts et externaliser les mesures de protection des données. Selon une annonce de l'Administration du cyberespace de Chine (CAC), les cyberattaques sont actuellement fréquentes dans l'Empire du Milieu, et les infrastructures d'information critiques sont confrontées à de graves problèmes de sécurité.
La CAC a qualifié les infrastructures critiques de « centre nerveux des opérations économiques et sociales et de priorité absolue de la sécurité des réseaux ». La définition chinoise des infrastructures d'information critiques se résume à tout système susceptible de subir des dommages importants à la suite d'une cyberattaque, et/ou de voir une telle attaque porter atteinte à la société en général, voire à la sécurité nationale.
Source : Breach
Et vous ?
Quel est votre avis surle sujet ?
Voir aussi :
Une base de données d'une entreprise chinoise donne des détails sur 2,4 millions de personnes influentes et leurs proches parents. Shenzhen Zhenhua fournit des infos à des agences de renseignement
Un administrateur informatique en colère efface les bases de données de son employeur et écope de 7 ans de prison
Une base de données chinoise volée est en vente sur un forum de discussion,
Alors que le gouvernement est resté silencieux, les plateformes Weibo et WeChat ne l'étaient pas
Une base de données chinoise volée est en vente sur un forum de discussion,
Alors que le gouvernement est resté silencieux, les plateformes Weibo et WeChat ne l'étaient pas
Le , par Bruno
Une erreur dans cette actualité ? Signalez-nous-la !