Programišius paskelbė internete dalį šių duomenų – 750 tūkst. įrašų su piliečių vardais, mobiliųjų telefonų numeriais, asmens kodais, adresais, gimimo datomis ir jų policijai pateiktais pareiškimais.
Naujienų agentūra AFP ir kibernetinio saugumo ekspertai patikrino kai kurių asmenų paviešintus duomenis ir nustatė, kad jie autentiški, bet bendrą duomenų bazės apimtį sunku įvertinti.
23 terabaitų duomenų bazė praėjusio mėnesio pabaigoje buvo reklamuojama viename forume, bet kibernetinio saugumo ekspertai tai pastebėjo tik šią savaitę. Programišius teigia, kad duomenų bazėje yra informacija apie milijardą Kinijos piliečių, ir nori parduoti ją už 10 bitkoinų (maždaug 191 tūkst. eurų).
„Atrodo, kad tai [surinkta] iš daugelio šaltinių. Kai kurie [jų] yra iš veidų atpažinimo sistemos, kiti atrodo kaip gyventojų surašymo duomenys“, – sakė Robertas Potteris (Robertas Poteris), vienas kibernetinio saugumo firmos „Internet 2.0“ steigėjų.
„Bendras įrašų skaičius nepatvirtintas, ir aš skeptiškai vertinu vieno milijardo piliečių skaičių“, – pridūrė jis.
Kinija turi visą šalį apimančią sekimo infrastruktūrą, surenkančią daugybę duomenų apie jos piliečius, esą siekiant užtikrinti saugumą.
Visuomenei vis labiau nusimanant apie duomenų privatumą, pastaraisiais metais buvo sugriežtinti duomenų apsaugos įstatymai asmenims ir privačioms firmoms, tačiau patys piliečiai neturi daug galimybių sutrukdyti valstybei rinkti jų duomenis.
Kai kurie nutekinti duomenys atrodo gauti iš pristatymo paslaugų vartotojų įrašų, kiti apima incidentų, apie kuriuos Šanchajaus policijai buvo pranešta per daugiau kaip dešimtmetį iki 2019-ųjų, santraukas. Tarp šių incidentų yra avarijos, smulkios vagystės, išžaginimai, smurtas artimoje aplinkoje.
„Lėks galvų“
Mažiausiai keturi iš keliolikos žmonių, su kuriais susisiekė naujienų agentūra AFP, patvirtino minimoje duomenų bazėje esančias savo asmenines detales, tokias kaip vardai ir adresai.
„Tai štai kodėl tiek daug žmonių pastarosiomis dienomis prideda mano [paskyrą susirašinėjimo programėlėje] „WeChat“. Ar man reikėtų pranešti apie tai policijai?“ – sakė viena moteris pavarde Hao.
„Aš tikrai sutrikus dėl to, kad mano asmeniniai duomenys nutekinti“, – sakė kita moteris, pavarde Liu.
Atsakymuose po pradiniu įrašu vartotojai spėliojo, kad šie duomenys galėjo būti pavogti iš sistemos „Alibaba Cloud“ serverio, kur juos tikriausiai laikė Šanchajaus policija.
Kibernetinio saugumo analitikas R. Potteris patvirtino, kad duomenys pavogti iš „Alibaba Cloud“. Jos atstovai neatsakė į AFP prašymą pakomentuoti.
Jei bus patvirtintas, šis įsilaužimas bus vienas didžiausių per istoriją ir didelis neseniai patvirtintų Kinijos duomenų apsaugos įstatymų pažeidimas.
„Dėl šito lėks galvų“, – socialiniame tinkle „Twitter“ parašė Kendra Schaefer (Kendra Šeifer) iš konsultavimo firmos „Trivium China“.
Kinijos kibernetinio saugumo administracija neatsakė į faksu nusiųstą prašymą pakomentuoti.
Naujausi komentarai