انتشار شده در تاریخ 1404/03/18 - 09:34

بزرگ‌ترین نشت داده‌های شخصی چینی

کارشناسان اعلام کردند که بیش از ۴ میلیارد رکورد کاربری در یک نقض امنیتی گسترده به صورت آنلاین افشا شد که احتمالاً با نظارت بر شهروندان چینی مرتبط است.

به گزارش کارگروه بین‌الملل سایبربان؛ باب دیاچنکو (Bob Dyachenko)، محقق امنیت سایبری و تیم سایبرنیوز، نشت عظیم داده‌ها را در چین کشف کردند که میلیاردها سند از جمله داده‌های مالی، وی‌چت و علی‌پی (Alipay)، را فاش کرد و احتمالاً صدها میلیون نفر را تحت تأثیر قرار داد. محققان معتقدند که داده‌ها برای ساخت پروفایل‌های دقیق شهروندان چینی جمع‌آوری شده و کاربران کار چندانی برای محافظت از حریم خصوصی خود نمی‌توانند انجام دهند.

محققان یک پایگاه داده عظیم ۶۳۱ گیگابایتی ناامن حاوی حدود ۴ میلیارد رکورد، عمدتاً مربوط به کاربران چینی، را کشف کردند.

در پستی که توسط سایبرنیوز منتشر شده آمده است:

«این نشت عظیم داده‌ها احتمالاً صدها میلیون کاربر، عمدتاً از چین، را در معرض خطر قرار داده است. یک پایگاه داده عظیم ۶۳۱ گیگابایتی بدون رمز عبور رها شده و ۴ میلیارد رکورد باورنکردنی را منتشر کرده است. مقیاس و تنوع اطلاعات به یک سیستم متمرکز اشاره دارد که احتمالاً برای نظارت، پروفایل‌سازی یا غنی‌سازی داده‌های موجود استفاده می‌شود.»

محققان هشدار دادند که پیامدهای بالقوه جدی هستند و عوامل تهدید می‌توانند از چنین گنجینه عظیمی برای انجام فیشینگ، حملات کلاهبرداری، باج‌گیری یا حتی کمپین‌های اطلاعاتی و اطلاعات نادرست تحت حمایت دولت سوءاستفاده کنند.

کارشناسان قبل از حذف پایگاه داده عظیم افشا شده، به طور خلاصه به آن دسترسی یافتند و از شناسایی صاحبان آن جلوگیری کردند. داده‌ها، که احتمالاً برای پروفایل‌سازی یا نظارت گردآوری شده‌اند، به ۱۶ مجموعه تقسیم شده‌اند. بزرگ‌ترین آنها، «wechatid_db»، بیش از ۸۰۵ میلیون رکورد را در خود جای داده است، درحالی‌که سایر موارد شامل داده‌های مسکونی، مالی و هویتی بوده‌اند. در مجموع، این نشت اطلاعات بیش از ۴ میلیارد رکورد، از جمله اطلاعات مربوط به علی‌پی، وی‌چت منعلق به بایدو (Baidu) و تایوان را در معرض دید قرار داده است.

دومین مجموعه بزرگ، «address_db»، بیش از ۷۸۰ میلیون رکورد حاوی داده‌های مسکونی با شناسه‌های جغرافیایی داشت. سومین مجموعه بزرگ، که به سادگی «بانک» نامگذاری شده بود، بیش از ۶۳۰ میلیون رکورد داده‌های مالی، از جمله شماره کارت‌های پرداخت، تاریخ تولد، نام و شماره تلفن داشت. در اختیار داشتن تنها این 3 مجموعه، مهاجمان ماهر را قادر می‌سازد تا نقاط داده مختلف را با هم مرتبط کنند تا بفهمند کاربران خاص کجا زندگی می‌کنند و عادات خرج کردن، بدهی‌ها و پس‌اندازهای آنها چیست.

کارشناسان نتوانستند داده‌های فاش شده را به هیچ سازمانی نسبت دهند، زیرا هیچ شناسه‌ای پیدا نشد و سرور به سرعت آفلاین شد. افراد آسیب‌دیده هیچ راه روشنی برای پاسخگویی ندارند. درحالی‌که چین قبلاً شاهد نشت‌های بزرگی مانند موارد مربوط به ویبو (Weibo) و دی‌دی (DiDi) بوده است، هیچ کدام از نظر مقیاس با این مطابقت ندارند. با افشای بیش از ۴ میلیارد رکورد، به نظر می‌رسد این بزرگ‌ترین نشت شناخته شده داده‌های شخصی چینی از یک منبع واحد باشد.

محققان در نهایت اظهار داشتند:

«ما نتوانستیم هیچ نشت داده‌ای را که از 4 میلیارد رکورد فراتر رود، شناسایی کنیم. این امر باعث می‌شود این نشت داده‌ها به بزرگ‌ترین نشت داده‌های شخصی چینی که تاکنون شناسایی شده، تبدیل شود.»