IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Chine tente de censurer ce qui pourrait être le plus gros piratage de données de l'histoire.
Un pirate affirme détenir des infos sur 1 Md de citoyens chinois qu'il veut vendre pour 10 bitcoins

Le , par Stéphane le calme

2PARTAGES

6  0 
Les censeurs chinois font des heures supplémentaires pour réprimer les informations selon lesquelles les données qu'ils ont siphonnées à leurs citoyens au fil des ans sont apparemment disponibles et sont vendues à un prix inférieur au coût prévu d'un Tesla Roadster. Lundi, des rapports ont montré qu'un pirate identifié uniquement comme "ChinaDan" a déclaré aux membres du site de pirates Breach Forums qu'il avait acquis 23 téraoctets de données sur 1 milliard de citoyens chinois. Ce sont des données dont il est prêt à se séparer pour le bon prix. Combien valent les données personnelles de 1 milliard de personnes ? Apparemment, seulement 10 bitcoins, soit environ 200 000 $.

Un hacker non identifié vend plusieurs bases de données qui, selon lui, contiennent plus de 22 téraoctets d'informations volées sur environ 1 milliard de citoyens chinois pour 10 bitcoins. L'annonce a été publiée sur un forum de hackers par une personne utilisant le pseudo "ChinaDan", affirmant que les informations avaient fuité de la base de données de la police nationale de Shanghai (SHGA).

Sur la base des informations qu'il a partagé concernant les données prétendument volées, les bases de données contiennent les noms, adresses, numéros d'identification nationaux, numéros d'informations de contact et plusieurs milliards de casiers judiciaires des résidents nationaux chinois.

ChinaDan a également partagé un échantillon de 750 000 enregistrements contenant des informations de livraison, des informations d'identification et des enregistrements d'appels de la police. Ces enregistrements permettraient aux acheteurs intéressés de vérifier que les données à vendre ne sont pas fausses.

« En 2022, la base de données de la police nationale de Shanghai (SHGA) a fuité. Cette base de données contient de nombreux To de données et d'informations sur des milliards de citoyens chinois », a déclaré l'individu dans son message la semaine dernière. « Les bases de données contiennent des informations sur 1 milliard de résidents nationaux chinois et plusieurs milliards d'enregistrements de cas, notamment*: nom, adresse, lieu de naissance, numéro d'identification national, numéro de téléphone portable, détails de tous les crimes / cas ».

L'individu a confirmé que les données avaient été exfiltrées d'un cloud privé local fourni par Aliyun (Alibaba Cloud), qui fait partie du réseau de la police chinoise (alias réseau de sécurité publique).


Dimanche, le PDG de Binance, Zhao Changpeng, a confirmé que les experts en renseignement sur les menaces de son entreprise avaient repéré les affirmations de ChinaDan et a déclaré que la fuite était probablement due à une base de données ElasticSearch qu'une agence gouvernementale chinoise a accidentellement exposée en ligne.

«*Nos informations sur les menaces ont détecté 1*milliard d'enregistrements de résidents à vendre sur le dark*Web, y compris le nom, l'adresse, la carte d'identité nationale, le numéro de téléphone mobile, les dossiers de police et médicaux d'un pays asiatique. Probablement en raison d'un bogue dans un déploiement d'Elastic Search par une agence gouvernementale », a déclaré Zhao. « Cela a un impact sur les mesures de détection/prévention des pirates, les numéros mobiles utilisés pour les prises de contrôle de compte, etc. »


Zhao a ajouté plus tard « qu'apparemment, cet exploit s'est produit parce que le développeur gouvernemental a écrit un blog technique sur CSDN et a accidentellement inclus les informations d'identification ».

La journaliste du Wall Street Journal, Karen Hao, a contacté des dizaines de personnes dont les données auraient été volées suite à la violation et a déclaré que certaines d'entre elles avaient confirmé toutes les informations disponibles dans l'échantillon divulgué. « À ce stade, il est impossible de confirmer l'ampleur de la fuite de données, mais cinq des personnes dont les données ont été récupéré ont confirmé tous les détails des informations associées à leur nom - des informations qu'il serait difficile d'obtenir d'une source autre que la police », a déclaré Hao. « Les quatre autres ont confirmé des informations de base comme leurs noms avant de raccrocher ».

La réaction du gouvernement

La fuite a suscité pas mal de critiques parmi lesquelles celles qui estiment que le nombre de personnes affecté est probablement exagérée, d'autant plus que le nombre total de cette base de données de la police de Shanghai ne serait que de 400 millions de moins que la population totale de toute la Chine, 1,4 milliard.

Le gouvernement chinois n'a fait aucune mention officielle du piratage aux journalistes, à la télévision ou en ligne. D'autres rapports ont montré à quel point Pékin ne veut pas que ses citoyens parlent de la violation. Le Financial Times a rapporté que les censeurs du gouvernement ont supprimé des publications sur les réseaux sociaux chinois qui osaient même mentionner la fuite présumée.

FT a écrit que Weibo, essentiellement la version chinoise de Twitter, et WeChat censuraient déjà toute mention de hashtags contenant « fuite de données » ou « violation de base de données ». Les censeurs ont bloqué les publications existantes et auraient même demandé à au moins un individu avec une grande communauté (de nombreux abonnés) de se présenter pour un interrogatoire. Le NYT a rapporté que les médias d'État chinois ont été muets sur les nouvelles du piratage.

Le pirate a écrit que les données provenaient de la société d'informatique cloud Aliyun qui, selon eux, héberge la base de données de la police de Shanghai.

Le New York Times a pu confirmer la véracité de l'échantillon original contenant les informations personnelles de 250 000 citoyens. Les journalistes ont appelé des personnes répertoriées dans la base de données qui ont apparemment confirmé qui elles étaient et tous les rapports de police antérieurs qu'elles auraient déposés - qui incluaient également si une personne était qualifiée de « personne clé » par la sécurité publique, ce qui facilite le signalement de ses activités dans l'état de surveillance plus large du pays.

Le Wall Street Journal a également appelé quelques-uns des noms et numéros contenus dans l'échantillon plus large de 750 000, où cinq de ces personnes ont également confirmé que des données seraient difficiles à obtenir si elles n'étaient pas recueillies par la police. Certains numéros que le Journal a essayés n'étaient plus valides, bien que les journalistes aient noté que les citoyens chinois changeaient souvent leurs numéros.

Un homme dans l'ensemble de données piraté, qui portait le nom de famille Wei, a déclaré au Journal après avoir appris que ses informations avaient été divulguées « Nous courons tous nus », une expression courante pour les résidents chinois pour dire qu'ils n'ont aucune vie privée.

Si les affirmations de ChinaDan s'avèrent exactes, il s'agirait de la violation de données la plus importante qui ait jamais touchée par la Chine et l'une des plus importantes de l'histoire. 2022 s'est déjà avérée une grande année pour les violations de données dans les entreprises multinationales ainsi que les gouvernements.

Sources : Financial Times, PDG Binance, NYT

Et vous

Son affirmation selon laquelle il détient des informations sur un milliard de citoyens obtenues sur une base de données de la police vous semble-t-elle crédible ou exagérée ? Dans quelle mesure ?
Quelles implications potentielles voyez-vous en fonction du type de profil disposé à racheter les informations (cybercriminels, pays « adversaires », etc.) ?

Voir aussi :

Une base de données d'une entreprise chinoise donne des détails sur 2,4 millions de personnes influentes et leurs proches parents. Shenzhen Zhenhua fournit des infos à des agences de renseignement

Un administrateur informatique en colère efface les bases de données de son employeur et écope de 7 ans de prison

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de tatayo
Expert éminent sénior https://www.developpez.com
Le 07/07/2022 à 16:34
Citation Envoyé par Jeff_67 Voir le message
Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
14  0 
Avatar de nadjim
Membre habitué https://www.developpez.com
Le 07/07/2022 à 20:28
Citation Envoyé par Jeff_67
Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.
Sincèrement vous êtes vraiment exaspérants, comme si vous étiez obligés de parler de leak alors que le terme fuite existe. Cela devient lassant de voir de l'anglais pour tout et n'importe quoi. Leaker est même devenu un verbe qu'on se permet de conjuguer en français.
8  1 
Avatar de
https://www.developpez.com
Le 07/07/2022 à 18:21
Citation Envoyé par tatayo Voir le message
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
J'ajoute une chose : aucune base de données n'est sûre à 100%. Par sécurité il faut partir du principe que toute donnée sensible détenue par autrui est vouée à fuiter, tôt ou tard.

Le vrai problème dans cette histoire, c'est que la police chinoise se soit permise de récolter autant d'informations sur les citoyens à la base.
5  1 
Avatar de Coeur De Roses
Membre actif https://www.developpez.com
Le 07/07/2022 à 17:30
Citation Envoyé par tatayo Voir le message
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
Et ouai, quand il s'agit des données des autres, certains n'ont pas vraiment de considération, excepté s'il s'agit de leur propre données.
3  1 
Avatar de
https://www.developpez.com
Le 07/07/2022 à 18:14
Citation Envoyé par tatayo Voir le message
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
Bien au contraire, ça m'intéresserait beaucoup de savoir ce que la police sait sur moi, si je suis une personne "clé" ou pas, si je risque de disparaitre au milieu de la nuit, etc...
2  3 
Avatar de totozor
Membre expert https://www.developpez.com
Le 08/07/2022 à 7:39
Citation Envoyé par Jeff_67 Voir le message
Bien au contraire, ça m'intéresserait beaucoup de savoir ce que la police sait sur moi
J'avoue que ça me titille aussi, par contre ça me titille beaucoup moins que tout le monde y ai accès, même s'il n'y a probablement pas grand chose à apprendre ça reste ma vie privée.
Citation Envoyé par Jeff_67 Voir le message
si je suis une personne "clé" ou pas, si je risque de disparaitre au milieu de la nuit, etc...
rassurez vous, les réponses sont non et non, si c'était le cas vous le sauriez déjà

Citation Envoyé par nadjim Voir le message
Sincèrement vous êtes vraiment exaspérants, comme si vous étiez obligés de parler de leak alors que le terme fuite existe.[...]
La police de la francophonie est autant fatiguante, la langue évolue et son utilisation avec.
Et de mon point de vue (et je me trompe peut être), dans se cadre, leak est une fuite massive de données particulièrement sencibles.
Ainsi, utiliser leak permet de préciser la gravité de la fuite en évitant d'en faire tout une phrase.
1  5