Une personne nommée ChinaDan propose sur Internet un ensemble de données de 23 téraoctets censé contenir des données personnelles et provenant de la police de Shanghai. L’authenticité des données n’a pas encore été vérifiée.
Des données provenant de criminels ?
Selon ChinaDan, l’ensemble de données contient les noms, adresses, numéros de téléphone portable, lieux de naissance, numéros d’identité nationaux et d’autres informations sur des criminels de la métropole de Shanghai. L’ensemble de données est en vente sur la plateforme violationd.to depuis fin juin. Le pirate informatique présumé ChinaDan demande dix bitcoins pour les données. La Chine est considérée comme un État de surveillance et collecte presque toutes les données disponibles sur ses habitants. Vidéosurveillance à grande échelle dans l’espace public, codes d’accès personnalisés aux plateformes Internet importantes, contrôles aléatoires, camps disciplinaires où sont endoctrinées les minorités, etc. génèrent tout un tas de données. En principe, il semble donc plausible que la police de Shanghai dispose d’une telle quantité de données – surtout compte tenu de la qualification très laxiste de criminelle dans la dictature chinoise.
Accès via Elasticsearch
Bleepingcomputer rapporte que le PDG de Binance a confirmé l’existence des failles de sécurité revendiquées par ChinaDan. Il a ajouté que « la fuite est probablement due à une base de données ElasticSearch qu’une agence gouvernementale chinoise a accidentellement mise en ligne ». Comme prévu, la police de Shanghai n’a fait aucun commentaire sur l’incident. On ne sait pas si cela est connu en Chine. Dans tous les cas, il est remarquable que les données soient proposées en Clearnet et avec une adresse de contact visible.
On sait depuis longtemps que les bases de données Elasticsearch ouvertes constituent une porte d’entrée pour les hacks. Par exemple, une liste de surveillance du FBI en matière de terrorisme a été rendue publique grâce à une telle lacune.