Un hacker sostiene di aver ottenuto le informazioni personali di 48,5 milioni di utenti di un’applicazione mobile COVID per la salute gestita dalla città di Shanghai, il secondo caso di violazione dei dati dell’hub finanziario cinese in poco più di un mese.
La persona ha fornito un campione dei dati, tra cui i numeri di telefono, i nomi, i numeri di identificazione cinesi e lo stato di salute di 47 persone.
Undici delle 47 persone raggiunte da Reuters hanno confermato di essere state inserite nel campione, anche se due hanno detto che i loro numeri di identificazione erano sbagliati. Reuters non è stata in grado di verificare ulteriormente l’autenticità delle affermazioni dell’hacker.
Le reali dimensioni e la natura di questo tipo di hacking di dati sono talvolta sopravvalutate dal venditore nel tentativo di ottenere un rapido profitto.
“Questo DB (database) contiene tutti coloro che vivono o hanno visitato Shanghai dall’adozione di Suishenma”, afferma XJP nel post, che inizialmente chiedeva 4.850 dollari prima di abbassare il prezzo lo stesso giorno.
Suishenma è il nome cinese del sistema di codici sanitari di Shanghai, che la città di 25 milioni di abitanti ha istituito all’inizio del 2020 per combattere la diffusione della COVID-19. Tutti i residenti e i visitatori devono utilizzarlo. Tutti i residenti e i visitatori devono utilizzarlo.
L’applicazione raccoglie i dati relativi ai viaggi per dare agli utenti un punteggio rosso, giallo o verde che indica la probabilità di contrarre il virus. Il codice deve essere mostrato per entrare nei luoghi pubblici.
I dati sono gestiti dal governo cittadino e gli utenti possono accedere a Suishenma scaricando l’applicazione o aprendola tramite l’app Alipay, di proprietà del gigante fintech e affiliato di Alibaba Ant Group, e l’app WeChat di Tencent Holdings.
Il governo di Shanghai, Ant e Tencent non hanno risposto immediatamente alle richieste di commento. XJP ha rifiutato di commentare quando è stata raggiunta da Breach Forums.
“Non sono ancora pronto a rispondere alle domande, perché ho ancora molte cose da svelare”, ha dichiarato XJP.
La presunta violazione di Suishenma arriva dopo che il mese scorso un hacker ha affermato di aver ottenuto dalla polizia di Shanghai 23 terabyte di informazioni personali appartenenti a un miliardo di cittadini cinesi.
L’hacker ha anche offerto di vendere i dati su Breach Forums.
Il primo hacker è stato in grado di rubare i dati dalla polizia perché un cruscotto per la gestione di un database della polizia era stato lasciato aperto su Internet senza protezione con password per più di un anno, ha riferito il Wall Street Journal, citando ricercatori di sicurezza informatica.
Secondo il giornale, i dati erano ospitati sulla piattaforma cloud di Alibaba e le autorità di Shanghai avevano convocato i dirigenti dell’azienda per la questione.
Né il governo di Shanghai, né la polizia, né Alibaba hanno commentato la questione del database della polizia.
Negli ultimi due anni, gli organi di regolamentazione cinesi hanno annunciato una serie di nuove norme che rafforzano la sorveglianza sulla gestione dei dati degli utenti da parte del settore privato, dopo anni di lamentele da parte dei residenti per la facilità con cui i loro dati personali possono essere rubati o venduti.
Uno screenshot dell’offerta di XJP su Breach Forums è diventato virale sui social media cinesi venerdì, spingendo diversi utenti di Weibo a esprimersi su quest’ultima fuga di notizie e sulle sue implicazioni più ampie, oltre a chiedersi che tipo di azione verrà intrapresa.
“Le fughe di dati in Cina non sono più una notizia rara”, ha detto uno di loro.
