به گزارش کارگروه بینالملل سایبربان؛ باب دیاچنکو (Bob Dyachenko)، محقق امنیت سایبری و تیم سایبرنیوز، نشت عظیم دادهها را در چین کشف کردند که میلیاردها سند از جمله دادههای مالی، ویچت و علیپی (Alipay)، را فاش کرد و احتمالاً صدها میلیون نفر را تحت تأثیر قرار داد. محققان معتقدند که دادهها برای ساخت پروفایلهای دقیق شهروندان چینی جمعآوری شده و کاربران کار چندانی برای محافظت از حریم خصوصی خود نمیتوانند انجام دهند.
محققان یک پایگاه داده عظیم ۶۳۱ گیگابایتی ناامن حاوی حدود ۴ میلیارد رکورد، عمدتاً مربوط به کاربران چینی، را کشف کردند.
در پستی که توسط سایبرنیوز منتشر شده آمده است:
«این نشت عظیم دادهها احتمالاً صدها میلیون کاربر، عمدتاً از چین، را در معرض خطر قرار داده است. یک پایگاه داده عظیم ۶۳۱ گیگابایتی بدون رمز عبور رها شده و ۴ میلیارد رکورد باورنکردنی را منتشر کرده است. مقیاس و تنوع اطلاعات به یک سیستم متمرکز اشاره دارد که احتمالاً برای نظارت، پروفایلسازی یا غنیسازی دادههای موجود استفاده میشود.»
محققان هشدار دادند که پیامدهای بالقوه جدی هستند و عوامل تهدید میتوانند از چنین گنجینه عظیمی برای انجام فیشینگ، حملات کلاهبرداری، باجگیری یا حتی کمپینهای اطلاعاتی و اطلاعات نادرست تحت حمایت دولت سوءاستفاده کنند.
کارشناسان قبل از حذف پایگاه داده عظیم افشا شده، به طور خلاصه به آن دسترسی یافتند و از شناسایی صاحبان آن جلوگیری کردند. دادهها، که احتمالاً برای پروفایلسازی یا نظارت گردآوری شدهاند، به ۱۶ مجموعه تقسیم شدهاند. بزرگترین آنها، «wechatid_db»، بیش از ۸۰۵ میلیون رکورد را در خود جای داده است، درحالیکه سایر موارد شامل دادههای مسکونی، مالی و هویتی بودهاند. در مجموع، این نشت اطلاعات بیش از ۴ میلیارد رکورد، از جمله اطلاعات مربوط به علیپی، ویچت منعلق به بایدو (Baidu) و تایوان را در معرض دید قرار داده است.
دومین مجموعه بزرگ، «address_db»، بیش از ۷۸۰ میلیون رکورد حاوی دادههای مسکونی با شناسههای جغرافیایی داشت. سومین مجموعه بزرگ، که به سادگی «بانک» نامگذاری شده بود، بیش از ۶۳۰ میلیون رکورد دادههای مالی، از جمله شماره کارتهای پرداخت، تاریخ تولد، نام و شماره تلفن داشت. در اختیار داشتن تنها این 3 مجموعه، مهاجمان ماهر را قادر میسازد تا نقاط داده مختلف را با هم مرتبط کنند تا بفهمند کاربران خاص کجا زندگی میکنند و عادات خرج کردن، بدهیها و پساندازهای آنها چیست.
کارشناسان نتوانستند دادههای فاش شده را به هیچ سازمانی نسبت دهند، زیرا هیچ شناسهای پیدا نشد و سرور به سرعت آفلاین شد. افراد آسیبدیده هیچ راه روشنی برای پاسخگویی ندارند. درحالیکه چین قبلاً شاهد نشتهای بزرگی مانند موارد مربوط به ویبو (Weibo) و دیدی (DiDi) بوده است، هیچ کدام از نظر مقیاس با این مطابقت ندارند. با افشای بیش از ۴ میلیارد رکورد، به نظر میرسد این بزرگترین نشت شناخته شده دادههای شخصی چینی از یک منبع واحد باشد.
محققان در نهایت اظهار داشتند:
«ما نتوانستیم هیچ نشت دادهای را که از 4 میلیارد رکورد فراتر رود، شناسایی کنیم. این امر باعث میشود این نشت دادهها به بزرگترین نشت دادههای شخصی چینی که تاکنون شناسایی شده، تبدیل شود.»
