Китайската полицейска база данни не беше защитена дълго преди да бъде иззета

База данни на шанхайската полиция с огромен набор от лични данни, иззети от хакер или група, е била оставена онлайн, незащитена в продължение на месеци, казаха изследователи по сигурността, което е вероятно най-големият известен пробив в компютърните системи на китайското правителство.

Течът, който излезе наяве след анонимен потребител публикувано в онлайн форум предлагайки продажба на лична информация на най-много един милиард китайски граждани, разкрива рисковете за поверителността на огромния апарат за наблюдение и сигурност на китайското правителство.

Властите в Китай събират огромно количество данни на граждани от проследяване на техните движенияпретърсвайки техните публикации в социалните медии и записване на тяхната ДНК и други биологични маркери. И все пак, въпреки че държавата натрупва все по-големи количества лични данни, понякога тя е слаба в издигането на предпазни мерки, като например паркирането им на незащитени сървъри. Малко след като беше рекламирана базата данни в Шанхай, друг анонимен потребител публикува в онлайн форум предложение за продажба на отделна полицейска база данни от централната китайска провинция Хенан, твърдейки, че има информация за 90 милиона граждани.

Китайските граждани през последните години изрази нарастващи изисквания за лична поверителност и защита на данните от фирми. Това изтичане, ако стане широко известно в Китай, най-вероятно ще подхрани и обществената съпротива срещу събирането на лични данни от правителството. Но новините за изтичането на информация бяха бързо цензурирани и премахнати от китайския интернет и социалните медийни платформи, знак, че правителството признава експлозивния характер на очевидното нарушение. Към четвъртък хаштагове като „изтичане на данни в Шанхай“, „изтичане на данни на един милиард граждани“ и „изтичане на данни“ останаха блокирани в Sina Weibo, популярна китайска услуга за микроблогинг.

„Това остави голямо черно око на китайския свят на обществената сигурност и като цяло на китайското правителство“, каза Пол Триоло, старши вицепрезидент за Китай в Albright Stonebridge Group, стратегическа фирма. „Не е изненадващо, че са преминали в режим на пълна цензура, като се има предвид колко чувствителен е този въпрос за обществеността.“

Докато големите изтичания на данни не са необичайни, базата данни на полицията в Шанхай се откроява както с мащаба си, така и с изключително чувствителния характер на част от включената информация, казаха изследователи по сигурността.

Двама изследователи по киберсигурност казаха, че са проверили поотделно твърденията на анонимния потребител, че базата данни включва над 23 терабайта данни, обхващащи до един милиард лица, отбелязвайки, че един от изтеклите файлове изглежда съдържа близо 970 милиона записа. Те не изключиха възможността за дублиране на записи.

Един от тях, Вини Троя, основател на Shadowbyte, компания за разузнаване на заплахи, каза, че за първи път се е натъкнал на базата данни преди месеци. Данните от Leak IX, онлайн платформа, която претърсва интернет за разкрити бази данни, показват, че сървърът е бил достъпен още през април 2021 г. Разкритието, че базата данни в Шанхай отдавна не е била защитена, беше съобщено по-рано от CNN.

New York Times потвърди части от извадка от 750 000 записа, които анонимният потребител под името ChinaDan публикува, за да докаже автентичността на данните. В допълнение към адресите и идентификационните номера базата данни включва информация за „ключови лица“, идентифицирани от полицията като изискващи засилено наблюдение, както и полицейски доклади. В един от случаите е подаден сигнал в полицията за изнасилване на 3-годишната му внучка. В друг, човек е бил разследван за петиция на площад Тянанмън в Пекин. Извадката включва и имената и номерата на паспортите на американски граждани, които са нарушили условията на визите в Китай.

Девет души, с които Times се свърза по телефона, потвърдиха имената и подробностите си. Никой от хората, с които се свърза, не каза, че е чувал преди това за изтичането на данни.

Някои не изглеждаха обезпокоени от разкриването на личната им информация. Един мъж, чийто запис на жалба до полицията, че дъщеря му е била изнасилена от нейния началник, беше сред данните, публикувани в извадката, потвърди точността на записа, когато се свърза по телефона. Но той каза, че епизодът е в миналото и че няма значение дали информацията е публична.

Други изразиха разочарование и оставка. Много китайци са свикнали с наблюдението, цензурата и честите обаждания за телемаркетинг, приемайки, че подобни прониквания са цената на удобството и безопасността. Все пак, казаха те, са необходими предпазни мерки.

„Тревожно е, защото това са досиета на обикновени хора“, каза Мей Пенг, продавачка в Шанхай, чиито данни също бяха в набора от проби. Тя потвърди, че както показват данните, тя е подала сигнал в полицията през 2017 г., когато нейният електрически скутер е бил откраднат. „Те трябва да бъдат по-добре защитени.

Правителството запази мълчание по въпроса. Администрацията за киберсигурност на Китай не отговори на изпратено по факс искане за коментар. Бюрото за обществена сигурност на Шанхай отказа да отговори на въпроси относно базата данни.

Отказът на правителството да признае изтичането е в контраст с обичайната практика в други страни, според която компаниите и държавните агенции често са задължени да предупреждават засегнатите потребители, ако тяхната информация е изтекла.

Г-н. Троя и друг изследовател, Боб Диаченко, собственик на SecurityDiscovery.com, консултантска компания за киберсигурност, казаха, че данните от Шанхай са били съхранявани сигурно в затворена мрежа, докато някой не създаде шлюз, който по същество проби дупка в защитната стена. Те казаха, че създаването на такива портали е обичайна практика сред разработчиците като начин за лесен достъп до база данни, но такива портали трябва да бъдат защитени с парола.

Шлюзът към шанхайската база данни нямаше парола.

Г-н. Троя каза, че за първи път се е натъкнал на незащитеното съкровище от файлове през декември или януари и че се е откроявало с огромния си размер. Той каза, че е изтеглил и прегледал малка извадка от файловете по това време.

Г-н. Диаченко каза, че екипът му е установил, че базата данни е била достъпна още през април тази година до средата на юни, когато някой е копирал и унищожил данните и е оставил бележка за откуп, изискваща 10 биткойна, текуща стойност около 200 000 долара, за възстановяване на информацията. Изследователите по сигурността казват, че е обичайно за злонамерени участници да отвличат открити бази данни и да се опитват да изнудват собствениците на данни с искания за откуп.

Не е ясно дали някой е платил и изтеглил цялата база данни. The Times се свърза с анонимния потребител тази седмица, но не получи отговор.

Изследователите по сигурността казват, че огромното количество лична информация в базата данни в Шанхай може да изложи лицата, чиито данни са били разкрити, на риск от изнудване, шантаж или измама.

„Колкото по-пълен профил имате на човек, толкова по-опасен е той“, каза г-н. каза Диаченко. „Възможностите са безкрайни.“