Egy évig simán elérhető volt a világ egyik legnagyobb, egymilliárd embert érintő adatszivárgása

Több mint egy éven át védtelenül és nyilvánosan hozzáférhető volt az eddigi egyik legnagyobb online adatszivárgás – akár egymilliárd kínai állampolgár (az ország lakosságának 70 százaléka) személyes adatai hevertek szabadon az interneten. A dologra akkor derült fény, amikor egy névtelen felhasználó egy hekkerfórumon megpróbálta eladni az adatbázist. A LeakIX szerint az adatbázis egy védtelen webcímen keresztül már 2021 áprilisa óta szabadon elérhető volt.

Kiberbiztonsági szakemberek szerint a kínai eset rámutat az online, egy helyen tárolt óriási személyes adatbázisok veszélyeire, különösen egy olyan országban, ahol a hatóságok széles körű és ellenőrizetlen hozzáféréssel rendelkeznek az ilyen adatokhoz.

A jelszó nélkül hozzáférhető adatbázist azután lőtték le, hogy egy hekker múlt csütörtökön eladásra kínálta a 23 terabájt méretű adathalmazt. A megjelölt ár 10 bitcoin, jelenlegi árfolyamon 7,8 millió forint volt. Az eladást kezdeményező felhasználó állítása szerint az adatbázist a sanghaji rendőrség állította össze, ebben egymilliárd kínai állampolgár személyes adatai – név, cím, mobilszám, személyiigazolvány-szám, életkor, születési hely – szerepeltek, tovább több milliárd, a rendőrség felé intézett telefonhívás felvétele is a csomag részét képezte.

A hirdetés mellé megmutatott, 750 ezer adatsorból álló minta alapján a CNN több mint két tucat bejegyzés valódiságát igazolta, ám a teljes, eredeti adatbázishoz nem fértek hozzá. A CNN megkereste a sanghaji kormányt és rendőrséget, ám egyik sem válaszolt az ügyben feltett kérdéseikre.

Az adatbázist eladásra kínáló felhasználó azt is közölte, hogy az adatsort az Alibaba Cloudban, a kínai kereskedelmi és techóriás felhőszolgáltatásában lehetett elérni. Ez a Kínában az utóbbi időben parkolópályára tett, büntetésekkel és korlátozásokkal sújtott Jack Ma cége. Szakértők szerint viszont nem az adatokat tároló Alibaba, hanem az adatkezelő hibázott.

Azt egyelőre nem tudni, hogy a 14 hónapon át elérhető adatbázishoz pontosan hányan fértek hozzá. Két nyugati kiberbiztonsági szakember megerősítette a CNN-nek, hogy a múlt csütörtöki eladási kísérlet előtt tudtak az adatbázisról, ami arra utal, hogy az könnyen megtalálható volt azoknak, akik tudták, hol kell ilyesmit keresni. Egy ilyen, az adatbázisra januárban rábukkanó szakember, a Shadowbyte-nál dolgozó Vinni Troia szerint viszont nem világos, hogy biztonsági mulasztás történt, vagy szándékosan engedtek hozzáférést egy hátsó ajtón keresztül az adatokhoz.