Según los expertos en seguridad cibernética, la filtración, una de las más grandes jamás registradas en la historia, destaca los peligros de recopilar y almacenar grandes cantidades de datos personales confidenciales en línea, especialmente en un país donde las autoridades tienen un acceso amplio y sin control a dichos datos.
Según el sitio LeakIX, una gran parte de los datos privados de China se hicieron públicos a través de lo que parecía ser una conexión de puerta trasera no segura. Descubre e indexa bases de datos expuestas en línea.
El usuario dijo que la base de datos fue compilada por la policía de Shanghái y contenía información confidencial, como nombres, direcciones, números de teléfono móvil, números de identificación nacional, edades y lugares de nacimiento de mil millones de ciudadanos chinos y miles de millones de registros de llamadas telefónicas realizadas a la policía. Para denunciar litigios civiles y delitos.
En la publicación del vendedor se incluye una muestra de 750.000 entradas de datos de los tres índices principales de la base de datos. CNN verificó la autenticidad de dos docenas de entradas de la muestra proporcionada por el proveedor, pero no pudo acceder a la base de datos original.
El gobierno y el departamento de policía de Shanghái no respondieron a las solicitudes de comentarios por escrito de CNN.
El vendedor también dijo que Alibaba, una subsidiaria del gigante chino de comercio electrónico Alibaba, proporcionó una base de datos no segura a través de la nube. Contactado por CNN para hacer comentarios el lunes, Alibaba dijo “lo estamos investigando” y estaría en contacto con cualquier actualización. El miércoles, Alibaba se negó a comentar.
Pero los expertos de CNN dicen que el propietario de los datos tiene la culpa, no la empresa que los proporciona.
China alberga a 1400 millones de personas, lo que significa que una filtración de datos podría afectar a más del 70 % de la población.
“Este es un pequeño caso en el que el genio no puede volver a la botella. Una vez que los datos están en la forma en que aparecen ahora, no hay vuelta atrás”, dijo Hunt.
No está claro cuántas personas accedieron o descargaron la base de datos durante los 14 meses que estuvo disponible públicamente en línea. Dos expertos occidentales en seguridad cibernética que hablaron con CNN dijeron que sabían de la existencia de la base de datos antes de que saliera a la luz pública la semana pasada, lo que sugiere que cualquiera que sepa dónde buscar podría encontrarla fácilmente.
Vinny Troia, investigador de seguridad cibernética y fundador de la firma de inteligencia de la web oscura Shadowbyte, dijo que descubrió la base de datos por primera vez “en enero” mientras buscaba bases de datos abiertas en línea.
“El sitio en el que lo encontré es público, cualquiera puede acceder (a él), todo lo que tiene que hacer es registrarse para obtener una cuenta”, dijo Troya. “Desde que abrió en abril de 2021, cualquier cantidad de personas podría haber descargado los datos”, agregó.
Troya dijo que descargó uno de los códigos clave de una base de datos que parece contener información sobre casi 970 millones de ciudadanos chinos. Pero es difícil determinar si el acceso abierto es un descuido de los propietarios de la base de datos o un atajo destinado a ser compartido entre un pequeño número de personas, dijo.
“O se olvidaron de ella, o deliberadamente la mantuvieron abierta porque era fácil para ellos acceder”, dijo, refiriéndose a los funcionarios a cargo de la base de datos. “No sé por qué lo harían. Parece tan descuidado”.
Los datos personales no protegidos, expuestos a través de filtraciones, infracciones o alguna forma de incompetencia, son un problema cada vez más común que enfrentan las empresas y los gobiernos de todo el mundo, y los expertos en seguridad cibernética dicen que no es inusual encontrar bases de datos abiertas al público. .
Pero la última fuga de datos es particularmente preocupante, dicen los investigadores de seguridad cibernética, no solo por su escala sin precedentes, sino también por la naturaleza sensible de la información que contiene.
Un análisis de CNN de la muestra de la base de datos encontró registros policiales de casos que abarcan dos décadas, desde 2001 hasta 2019. Aunque la mayoría de las entradas son disputas civiles, también hay registros de casos penales que van desde el fraude hasta la violación.
En un caso, la policía citó a un residente de Shanghai en 2018 por usar una red privada virtual (VPN) para eludir el firewall de China y acceder a Twitter para “retuitear comentarios reaccionarios que involucran al Partido (Comunista), la política y los líderes”.
En otra publicación, una madre llamó a la policía en 2010 tras acusar a su suegro de violar a su hija de 3 años.
“La violencia doméstica, el abuso infantil, todo tipo de cosas podrían estar involucradas, y eso es muy preocupante para mí”, dijo Hunt, director regional de Microsoft.
“¿Esto conduciría a la extorsión? A menudo vemos extorsión de personas después de filtraciones de datos, y los piratas informáticos también pueden intentar rescatar a las personas”.
Bob Diachenko, un investigador de seguridad con sede en Ucrania, se encontró por primera vez con la base de datos en abril. A mediados de junio, su empresa descubrió que la base de datos había sido atacada por un actor malicioso desconocido, que borró y copió los datos y dejó una nota de rescate exigiendo 10 bitcoins para restaurarla, dijo Diachenko.
No está claro si la base de datos es obra de la misma persona que anunció la venta la semana pasada.
Para el 1 de julio, según Dyachenko, la nota de rescate había desaparecido, pero solo estaban disponibles 7 gigabytes (GB) de datos, en lugar de los 23 TB anunciados originalmente.
Diachenko dijo que sugirió que se liquidó el rescate, pero los propietarios de la base de datos continuaron usando la base de datos expuesta para el almacenamiento hasta que se cerró durante el fin de semana.
“Tal vez algunos desarrolladores junior lo notaron y trataron de eliminar las referencias antes de que la alta gerencia las notara”, dijo.
Esta historia se actualizó con actualizaciones adicionales el miércoles.
Philip Wang de CNN contribuyó con el reportaje.
