Resim: GH U/Bleeping Bilgisayarına basın
Anonim bir tehdit oyuncusu, 10 bitcoin (yaklaşık 195.000 $) için yaklaşık 1 milyar Çin vatandaşı hakkında 22 terabayttan fazla çalıntı bilgi içerdiğini iddia ettikleri birkaç veritabanını satıyor.
Duyuru, bilginin Şangay Ulusal Polisi (SHGA) veritabanından sızdığını söyleyerek 'Chinadan' kullanan biri tarafından bir hacker forumunda yayınlandı.
İstendiği iddia edilen verilerle ilgili paylaştıkları bilgilere dayanarak, veritabanları Çin ulusal sakinlerinin isimleri, adresleri, ulusal kimlik numaraları, iletişim bilgileri numaraları ve birkaç milyar sabıka kaydı içerir.
Chinadan ayrıca teslimat bilgileri, kimlik bilgileri ve polis çağrı kayıtları içeren 750.000 kayıt içeren bir örnek paylaştı. Bu kayıtlar, ilgilenen alıcıların satılık verilerin sahte olmadığını doğrulamasına izin verecektir.
Tehdit oyuncusu geçen hafta yaptığı görevde, "2022'de Şangay Ulusal Polisi (SHGA) veritabanı sızdırıldı. Bu veritabanı milyarlarca Çin vatandaşı hakkında birçok TB veri ve bilgi içeriyor." Dedi.
"Veritabanları, 1 milyar Çinli ulusal sakinler ve isim, adres, doğum yeri, ulusal kimlik numarası, cep telefonu numarası, tüm suç / vaka detayları dahil olmak üzere birkaç milyar vaka kaydı hakkında bilgi içeriyor."
Tehdit oyuncusu, verilerin Çin Polis Ağı'nın (AKA Kamu Güvenliği Ağı) bir parçası olan Aliyun (Alibaba Cloud) tarafından sağlanan yerel bir özel buluttan çıkarıldığını doğruladı.
Pazar günü, Binance CEO'su Zhao Changpeng, şirketinin tehdit istihbarat uzmanlarının Chinadan'ın iddialarını tespit ettiğini ve sızıntının bir Çin devlet kurumunun yanlışlıkla çevrimiçi olarak maruz kaldığı bir elasticsearch veritabanından kaynaklandığını söyledi.
"Tehdit zekamız, bir Asya ülkesinden isim, adres, ulusal kimlik, mobil, polis ve tıbbi kayıtlar dahil olmak üzere karanlık web'de satış için 1 milyar yerleşik kayıt tespit etti. Muhtemelen bir GOV ajansı tarafından elastik bir arama konuşlandırmasında bir hata nedeniyle, "Dedi Zhao.
"Bunun hacker algılama/önleme önlemleri, hesap devralmaları için kullanılan cep telefonu numaraları vb.
Zhao daha sonra "görünüşe göre, bu istismarın gerçekleştiğini, çünkü Gov geliştiricisinin CSDN hakkında bir teknoloji blogu yazdığını ve yanlışlıkla kimlik bilgilerini dahil ettiğini" de sözlerine ekledi.
Wall Street Journal muhabiri Karen Hao, verilerinin ihlalde çalındığı iddia edilen düzinelerce kişiye ulaştı ve bazılarının sızdırılan örnekte mevcut olan tüm bilgileri doğruladığını söyledi.
"Bu noktada, veri sızıntısının ölçeğini doğrulamak imkansızdır, ancak toplayan beş kişi, adlarıyla listelenen tüm vaka ayrıntılarını doğruladı - polis dışında herhangi bir kaynaktan elde edilmesi zor olacak bilgiler - , "Dedi Hao.
"Diğer dördü, asmadan önce isimleri gibi temel bilgileri doğruladı."
Chinadan'ın iddialarının doğru olduğu kanıtlanırsa, bu, Çin'i etkileyen en önemli veri ihlali ve tarihin en büyüklerinden birini olacaktır.
Kaiser Permanente Veri ihlali 69K kişinin sağlık verilerini ortaya çıkarır
Güvenlik Danışmanlığı yanlışlıkla savunmasız sistemleri ortaya çıkarır
Marriott yeni veri ihlali ve başarısız bir gasp girişimi
Gizlilik Koruma Ajansı, Hacked Travel Company'nin sunucularını ele geçirdi
Opensea veri ihlalini açıklar, kullanıcıları kimlik avı saldırıları konusunda uyarır
Kaynak: Bleeping Computer