Un ou des hackers affirment avoir obtenu des informations sur les citoyens après avoir piraté une base de données de la police de Shanghai. Ils les proposent à la vente sur un forum de cybercriminalité.
Ce serait l’une des plus grandes violations de données de l’histoire et la plus grande que la Chine ait connue. Un ou des hackers – sous le pseudo de « ChinaDan » assurent être en possession d’informations sur un milliard de résidents chinois. Le 30 juin, ils ont publié un message sur le forum de cybercriminalité Breach Forums indiquant que celles-ci proviennent d’une base de données de la police de Shanghai. Ils ont fixé le prix de la fuite à 10 bitcoins, soit près de 192 000 euros.
L’étendue de la violation de données – plus de 23 téraoctects d’informations – n’a pas été confirmée, mais le sujet a été largement discuté sur les réseaux sociaux chinois Weibo et WeChat au cours du week-end, avec de nombreux utilisateurs craignant qu’elle ne soit réelle. La Chine a alors procédé à une censure des informations autour du sujet, dont des hashtags populaires sur Weibo.
Des données sensibles confirmées
Ce piratage massif inquiète notamment par rapport à la sensibilité des données dérobées. Les fichiers comprendraient en effet les noms, les numéros d’identification nationaux, les numéros de téléphone, les dates et lieux de naissance, ainsi que des résumés détaillés des crimes et incidents signalés à la police entre 1995 et 2019. Le Wall Street Journal a pu vérifier plusieurs des dossiers de la fuite en appelant les personnes dont les numéros étaient répertoriés. Cinq individus ont ainsi confirmé que les données les concernant étaient correctes, y compris les informations que seule la police peut détenir. Quatre autres personnes ont également confirmé des informations de base, comme leurs noms, auprès du quotidien américain. D’un autre côté, le Wall Street Journal précise que plusieurs des numéros essayés étaient invalides ou n’étaient plus en service.
Pour obtenir ces informations, le ou les hackers auraient visé Aliyun, une filiale du groupe Alibaba hébergeant la base de données de la police de Shanghai. Le piratage a par ailleurs été confirmé par le PDG de Binance qui a indiqué sur Twitter que la société avait « détecté 1 milliard de dossiers de résidents d’un pays asiatique à vendre sur le dark web ». Il a également précisé que la plateforme « a intensifié les vérifications pour les utilisateurs potentiellement concernés ».
Bien que des experts en cybersécurité aient qualifié le piratage d’« alarmant » selon le Wall Street Journal, ils restent sceptiques face aux affirmations du ou des hackers, notamment avec la taille de la base de données et l’anonymat des pirates.