Un pirate informatique propose de vendre les données de 48,5 millions d'utilisateurs de l'application COVID de Shanghai

Le 12 août 2022 à 09:18

Un pirate informatique a prétendu avoir obtenu les informations personnelles de 48,5 millions d'utilisateurs d'une application mobile de code de santé COVID gérée par la ville de Shanghai, la deuxième revendication d'une violation des données du centre financier chinois en un peu plus d'un mois.

Le pirate dont le nom d'utilisateur est "XJP" a proposé de vendre les données pour 4 000 $ sur le forum de pirates Breach Forums mercredi.

Le pirate a fourni un échantillon des données comprenant les numéros de téléphone, les noms, les numéros d'identification chinois et le statut du code de santé de 47 personnes.

Onze des 47 personnes jointes par Reuters ont confirmé qu'elles figuraient dans l'échantillon, bien que deux aient déclaré que leurs numéros d'identification étaient erronés.

"Cette BD (base de données) contient toutes les personnes qui vivent ou ont visité Shanghai depuis l'adoption de Suishenma", a déclaré XJP dans le post, qui demandait initialement 4 850 $ avant de baisser le prix plus tard dans la journée.

Suishenma est le nom chinois du système de code sanitaire de Shanghai, que la ville de 25 millions d'habitants, comme beaucoup d'autres à travers la Chine, a établi début 2020 pour lutter contre la propagation du COVID-19. Tous les résidents et les visiteurs doivent l'utiliser.

L'application recueille des données sur les voyages pour attribuer aux personnes une note rouge, jaune ou verte indiquant la probabilité d'avoir le virus et les utilisateurs doivent montrer le code pour entrer dans les lieux publics.

Les données sont gérées par le gouvernement de la ville et les utilisateurs accèdent à Suishenma via l'application Alipay, détenue par Ant Group, géant de la fintech et filiale d'Alibaba, et l'application WeChat de Tencent Holdings.

XJP, le gouvernement de Shanghai, Ant et Tencent n'ont pas immédiatement répondu aux demandes de commentaires.

La prétendue violation de Suishenma survient après qu'un pirate informatique ait déclaré au début du mois dernier avoir obtenu 23 téraoctets d'informations personnelles appartenant à un milliard de citoyens chinois auprès de la police de Shanghai.

Ce pirate a également proposé de vendre les données sur Breach Forums.

Le Wall Bourse Journal, citant des chercheurs en cybersécurité, a déclaré que le premier pirate avait pu voler les données de la police car un tableau de bord pour la gestion d'une base de données de la police avait été laissé ouvert sur l'Internet public sans protection par mot de passe pendant plus d'un an.

Le journal a précisé que les données étaient hébergées sur la plateforme cloud d'Alibaba et que les autorités de Shanghai avaient convoqué des cadres de la société à ce sujet.

Ni le gouvernement de Shanghai, ni la police, ni Alibaba n'ont commenté l'affaire de la base de données de la police.

Accéder à l'article original.
Avertissement légal