Un ensemble de données méticuleusement organisé comprenait les identifiants WeChat, les détails de la banque, les données Alipay, les adresses personnelles et les profils comportementaux.
Une violation colossale de données aurait exposé environ quatre milliards de dossiers contenant des informations personnelles de centaines de millions d’utilisateurs, principalement de Chine.
La base de données de 631 gigaoctets a été découverte de son côté s’établit largement sur Internet, manquant même la protection des mots de passe la plus basique, Selon la société de cybersécurité CyberNews, qui a rapporté ses résultats basé sur ses propres recherches.
Ce qui rend cette violation particulièrement alarmante, ce n’est pas seulement sa taille, mais à quatre milliards de dossiers, il est censé être la plus grande fuite à source unique de données personnelles chinoises jamais trouvées – c’est l’étendue et la profondeur des informations qui ont été exposées.
Selon le rapport, les chercheurs sont tombés sur ce qui semble être une mine d’or numérique pour quiconque cherche à construire des profils complets sur les citoyens chinois tout en travaillant avec le chercheur de cybersécurité Bob Dyachenko de SecurityDiscovery.com.
Les chercheurs estiment que l’ensemble de données a été «méticuleusement rassemblé et maintenu pour construire des profils comportementaux, économiques et sociaux complets de presque tous les citoyens chinois».
« Le volume et la diversité des types de données dans cette fuite suggèrent qu’il s’agissait probablement d’un point d’agrégation centralisé, potentiellement maintenu à des fins de surveillance, de profilage ou d’enrichissement des données », a ajouté le rapport.
Les données de WeChat et les informations financières ont fuité
Après cette découverte massive, les chercheurs ont rapporté que la base de données avait été retirée. Mais avant de disparaître de la vue du public, les chercheurs ont réussi à jeter un œil à l’intérieur et ont trouvé 16 collections de données distinctes – chacune un trésor d’informations personnelles, comme ils l’ont dit.
Le Crown Jewel était une collection appelée «WeChatid_DB» avec plus de 805 millions de disques, presque certainement tirée de WeChat, la super-application chinoise omniprésente qui est devenue aussi essentielle que la respiration pour de nombreux utilisateurs.
Mais les données financières sont où les choses deviennent vraiment effrayantes. Imaginez avoir vos numéros de carte de paiement, votre date de naissance, votre nom et votre numéro de téléphone stockés dans une base de données étiquetée simplement «banque» – c’est exactement ce qui est arrivé à plus de 630 millions de personnes.
Ajoutez à cela 300 millions de records supplémentaires d’Alipay, la plate-forme de paiement mobile dominante de la Chine, et vous avez le rêve d’un cybercriminal.
La cerise sur le dessus? Une collection de plus de 780 millions d’adresses domestiques, avec des détails géographiques. Soudain, les mauvais acteurs ne savent pas que ce que vous dépensez – ils savent où vous vivez et ce que vous achetez.
Les capacités de surveillance et de profilage soulèvent des préoccupations
Voici la chose qui maintient les experts en sécurité la nuit: ce n’était pas seulement un vidage de données aléatoire. L’organisation méticuleuse et la lunette suggèrent que quelqu’un construisait des dossiers détaillés sur les citoyens chinois.
Les données exposées se lit comme une liste de souhaits d’un État de surveillance. Au-delà des informations financières et des coordonnées, il y avait des collections couvrant tout, des habitudes de jeu aux inscriptions des véhicules, aux détails de l’emploi et aux informations de retraite.
Selon le rapport, une collection, de manière inquiétante, nommée dans des personnages de mandarin traduisant en «chèques à trois facteurs», contenait plus de 610 millions d’enregistrements avec ce que les chercheurs pensent être des identifiants utilisateur, des numéros de téléphone et des noms d’utilisateur – la Sainte Trinité pour la vérification de l’identité.
La base de données contenait également plus de 353 millions de dossiers supplémentaires répartis sur neuf collections couvrant les activités de jeu, les enregistrements de véhicules, les informations sur l’emploi, les fonds de pension et les données d’assurance. Les chercheurs ont identifié une collection, «TW_DB», comme contenant potentiellement des informations liées à Taiwan.
« Il ne manque pas de façons dont les acteurs de menace ou les États-nations pourraient exploiter les données », a ajouté le rapport. «Avec un ensemble de données de cette ampleur, tout, des plimshing, de chantage et de fraude à grande échelle aux campagnes de collecte de renseignements et de désinformation parrainées par l’État, est sur la table.»
L’attribution reste insaisissable à mesure que la base de données disparaît
Malgré une enquête approfondie, l’équipe CyberNews n’a pas pu identifier les propriétaires ou les opérateurs de la base de données. L’instance exposée a été rapidement retirée après la découverte, empêchant les chercheurs de procéder à une analyse plus approfondie ou de déterminer l’attribution.
«Les personnes qui peuvent être affectées par cette fuite n’ont aucun recours direct en raison de l’anonymat du propriétaire et du manque de canaux de notification», a noté l’équipe de recherche.
L’échelle et la sophistication de l’agrégation de données suggèrent des ressources importantes et des capacités techniques derrière l’opération. Les chercheurs ont indiqué que la collecte et le maintien d’une base de données aussi complète nécessitaient un temps, des efforts et des infrastructures substantiels généralement associés aux acteurs de l’État-nation, à des groupes de menaces organisés ou à des organisations de recherche bien respectées.
Défis de sécurité des données en cours de la Chine
Cette violation représente la dernière d’une série d’expositions de données significatives affectant les utilisateurs chinois. Les incidents antérieurs, les chercheurs de CyberNews ont effectué, comprenaient des fuites affectant 1,5 milliard de dossiers des bases de données du Parti communiste de Weibo, Didi et Shanghai, ainsi qu’une autre brèche exposant 1,2 milliard de records d’utilisateurs chinois. Plus récemment, les attaquants ont divulgué 62 millions de dossiers des utilisateurs d’iPhone en ligne.
« Cependant, nous n’avons pu identifier aucune fuite de données qui dépasse quatre milliards de dossiers », indique le rapport. « Cela ferait que ces données fuisent la plus grande fuite de source unique de données personnelles chinoises jamais identifiées. »
