Bán dữ liệu 48,5 triệu người dùng ứng dụng COVID-19 ở Thượng Hải, hacker gây rúng động Trung Quốc

Thế giới số - Ngày đăng : 16:40, 12/08/2022

Một hacker đã tuyên bố đã lấy được thông tin cá nhân của 48,5 triệu người dùng ứng dụng di động có mã sức khỏe COVID-19 do thành phố Thượng Hải (Trung Quốc) điều hành.

Đây là vụ vi phạm dữ liệu thứ hai ở trung tâm tài chính Trung Quốc chỉ trong hơn một tháng.

Hacker có nickname là XJP đã đăng bài rao bán dữ liệu với giá 4.000 USD trên diễn đàn Breach hôm 11.8. XJP đã cung cấp một mẫu dữ liệu bao gồm số điện thoại, tên, số nhận dạng Trung Quốc và tình trạng mã số sức khỏe của 47 người.

11 người trong số 47 người mà hãng tin Reuters tiếp cận xác nhận rằng họ có tên trong mẫu, dù hai người nói rằng số nhận dạng của họ bị sai.

"Cơ sở dữ liệu này chứa tất cả những người sống ở hoặc đến thăm Thượng Hải kể từ khi từ khi Suishenma được đưa vào sử dụng", XJP cho biết trong bài đăng, ban đầu yêu cầu 4.850 USD trước khi hạ giá vào cuối ngày.

Suishenma là tên tiếng Trung cho hệ thống mã y tế của Thượng Hải, thành phố 25 triệu dân, được trình làng vào đầu năm 2020 để chống lại sự lây lan COVID-19. Tất cả người dân và du khách đến Thượng Hải phải sử dụng nó.

Suishenma thu thập dữ liệu du lịch để cung cấp cho mọi người xếp hạng màu đỏ, vàng hoặc xanh lá cây, qua đó biết khả năng nhiễm vi rút SARS-CoV-2 và người dùng phải xuất trình mã để vào các địa điểm công cộng.

Dữ liệu do chính quyền thành phố Thượng Hải quản lý và người dùng truy cập Suishenma thông qua ứng dụng Alipay thuộc sở hữu của Ant Group (gã khổng lồ công nghệ tài chính và công ty con của Alibaba) và WeChat của Tencent Holdings.

XJP, chính quyền Thượng Hải, Ant và Tencent đã không trả lời ngay lập tức các câu hỏi về chuyện trên.

hacker-ban-du-lieu-485-trieu-nguoi-dung-ung-dung-covid-19-cua-thuong-hai.jpg
Một người đàn ông mặc đồ bảo hộ kiểm tra smartphone của mình tại ga tàu điện ngầm sau khi lệnh phong tỏa được dỡ bỏ ở Thượng Hải - Ảnh: Reuters

Vụ xâm phạm Suishenma có mục đích xảy ra sau khi một hacker hồi đầu tháng 7 cho biết có được 23 terabyte thông tin cá nhân 1 tỉ công dân Trung Quốc từ cảnh sát Thượng Hải.

Hacker có nickname ChinaDan cũng rao bán dữ liệu trên diễn đàn Breach. Người này cho biết dữ liệu bao gồm tên, địa chỉ, số nhận dạng và số điện thoại di động. ChinaDan tính phí 10 bitcoin, tương đương khoảng 200.000 USD thời điểm đó, cho toàn bộ dữ liệu.

Tờ Wall Street Journal dẫn lời các nhà nghiên cứu an ninh mạng cho biết, ChinaDan có thể đánh cắp dữ liệu từ cảnh sát Thượng Hải vì một bảng điều khiển để quản lý cơ sở dữ liệu cảnh sát đã bị bỏ ngỏ trên internet công cộng mà không có mật khẩu bảo vệ trong hơn một năm.

Wall Street Journal cho biết dữ liệu được lưu trữ trên nền tảng đám mây của Alibaba và chính quyền Thượng Hải đã triệu tập các lãnh đạo công ty của Jack Ma về vấn đề này.

Cả chính quyền Thượng Hải, cảnh sát và Alibaba đều không bình luận gì về vấn đề cơ sở dữ liệu của cảnh sát.

Quy mô của vụ tấn công đã gây ra những lo ngại về tác động của nó vào thời điểm bộ máy nhà nước Trung Quốc đang thu thập lượng lớn dữ liệu từ công dân của mình để giám sát và quản trị xã hội.

Sau vụ việc trên, các nền tảng truyền thông xã hội của Trung Quốc đã bắt đầu hoạt động, kiểm duyệt nội dung liên quan.

Thông tin này có thể là “vụ rò rỉ dữ liệu lớn nhất thuộc loại này ở Trung Quốc, gây ra trải nghiệm tiêu cực vĩnh viễn”, theo Zhao Xuan, luật sư an ninh mạng tại Công ty luật Beijing Bairui.

Trung Quốc có 1,4 tỉ dân. Người bán tuyên bố có dữ liệu 1 tỉ người và cho rằng nó bị rò rỉ từ cơ sở dữ liệu của cảnh sát, số lượng và chất lượng của dữ liệu có thể khá cao”, Zhao Xuan nói thêm.

Tập dữ liệu mẫu dưới dạng ba file định dạng JSON (JavaScript Object Notation) chứa 560 MB thông tin bao gồm các trường tên, ngày sinh, địa chỉ, số điện thoại di động, số nhận dạng cá nhân, ảnh và thậm chí cả dân tộc. Tuy nhiên, một số người dùng đã đặt câu hỏi về tính xác thực của thông tin rò rỉ.

Có vẻ như là một trò lừa đảo nâng cao”, một người có nickname Victim đã trả lời bài đăng trên diễn đàn, đồng thời cho biết thêm rằng miền được sử dụng trong các URL cho ảnh trong cơ sở dữ liệu chuyển hướng đến một trang web đăng ký miền có trụ sở tại Vương quốc Anh. Một người dùng khác trên Twitter lập luận rằng các bộ mẫu có thể đã được ghép lại với nhau từ dữ liệu bán công khai có sẵn trước đó.

Vụ việc nêu bật các vấn đề bảo mật dữ liệu mà Trung Quốc đang đối mặt ngay cả khi chính phủ tìm cách tăng cường bảo vệ thông tin cá nhân trong năm qua. Tháng 11.2021, Luật bảo vệ thông tin cá nhân có hiệu lực, mang lại cho Trung Quốc một số quy tắc cứng rắn nhất trên thế giới về bảo mật dữ liệu cá nhân bằng cách đặt ra các hạn chế về cách dữ liệu của người dùng internet có thể được thu thập, sử dụng và quản lý.

Luật được đặt ra nhằm khiến các hãng công nghệ ở Trung Quốc tiếp cận, sử dụng thông tin của người tiêu dùng khó hơn và tốn kém hơn đáng kể, có tác động rộng hơn so với việc thực hiện Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (EU).

Zhao Xuan nói những người chịu trách nhiệm về vụ rò rỉ và tấn công có thể bị buộc tội theo luật hình sự Trung Quốc, bao gồm các tội vi phạm thông tin cá nhân của công dân và truy cập bất hợp pháp vào hệ thống thông tin máy tính.

Các nhà chức trách Trung Quốc trước đây cho biết nước này là mục tiêu nhất quán của các hacker ở nước ngoài. Đại học Bách khoa Tây Bắc, một trong những trường hàng đầu Trung Quốc về nghiên cứu quốc phòng, tuyên bố vào tháng trước rằng họ là mục tiêu của cuộc tấn công mạng từ các hacker nước ngoài.

Trong nước này cũng liên tục xảy ra các vụ rò rỉ dữ liệu và có một thị trường ngầm tràn lan về thông tin cá nhân. Chỉ riêng trong năm 2020, Trung Quốc đã điều tra 560.000 trường hợp tội phạm mạng và bắt giữ hơn 80.000 nghi phạm, trong đó có 13.000 nghi phạm liên quan đến xâm phạm thông tin cá nhân và 2.975 nghi phạm khác liên quan đến hack, theo Bộ Công an nước này.

Khi vụ rò rỉ dữ liệu này được đưa lên mạng, Tencent Holdings và Weibo bắt đầu kiểm duyệt các bài đăng liên quan. Một bài bình luận của Tencent Holdings trên WeChat tuyên bố rò rỉ sẽ mang lại "ảnh hưởng vĩnh viễn, không thể thay đổi" đã biến mất ngay sau khi được xuất bản. Trên Weibo, một nền tảng tiểu blog, nội dung liên quan thuộc chủ đề “Cơ sở dữ liệu cảnh sát Thượng Hải” đã bị xóa.

Rò rỉ dữ liệu đang trở thành một vấn đề lớn hơn với các quốc gia trên thế giới. Đầu năm nay, dữ liệu cá nhân của 22,5 triệu công dân Malaysia, bao gồm tên đầy đủ, số ID, ảnh, địa chỉ nhà và số điện thoại, đã bị đánh cắp từ máy chủ của chính phủ và bán trên dark web với giá được báo cáo là 10.000 USD. Ngay sau đó, các chuyên gia bảo mật máy tính Malaysia đã phát hiện ra một trang web cung cấp quyền truy cập vào nhiều loại dữ liệu cá nhân của công dân nước này.

Sơn Vân