Утечка века: в даркнете продают данные 1 млрд китайских граждан

Неизвестные злоумышленники сообщили на одном из китайских форумов о взломе базы данных шанхайской полиции, откуда им якобы удалось украсть более 23 терабайт персональных данных. По словам хакеров, им в руки попали имена, адреса, места рождения китайских граждан, национальные ID, номера мобильных телефонов и даже материалы уголовных дел.

В подтверждение своих слов злоумышленники выложили часть данных онлайн - для скачивания стали доступны 750 тыс. записей. Теперь преступники ищут покупателей, оценивая украденную базу в 10 BTC (ок. $200 тыс. или 11,1 млн рублей по курсу на момент публикации).

Сообщение пользователя ChinaDan о взломе

Стоит отметить, что некоторые пользователи усомнились в словах неизвестного хакера. По их мнению, 10 BTC - это слишком мало, учитывая сложность предполагаемого взлома и возможное наказание, если власти установят организаторов утечки.

Единственным сторонним подтверждением взлома на данный момент является сообщение руководителя криптовалютной биржи Binance Чжао Чанпэна (Zhao Changpeng), который в своем Twitter-канале сообщил о крупной утечке информации из “одной из азиатских стран”. В этой связи Binance будет дополнительно верифицировать действия пользователей, которые могли попасть под атаку.

В отсутствие подробностей широкой общественности остается только гадать, как преступники могли получить доступ к полицейским серверам. По одной из версий, утечка произошла при участии стороннего облачного провайдера. Эксперты отмечают, что крупнейшими поставщиками облачных услуг в Китае, с которыми могли сотрудничать государственные органы, являются компании Alibaba Cloud, Huawei Cloud и Tencent Cloud.

В сообщении Чжао Чанпэна высказано предположение, что причина может быть связана с ошибками при развертывании сервера ElasticSearch. Посетители интернет-форумов обсуждают версию, согласно которой один из разработчиков выложил ключ доступа в своем блоге, чем и воспользовались злоумышленники. Тем временем уже через несколько часов после первых сообщений об инциденте администрация сервиса Weibo (китайский аналог Twitter) заблокировала хештег “утечка данных”.

Если атака действительно произошла, виновных может ждать очень суровое наказание. В прошлом году китайские власти приняли пакет мер, которые регулируют порядок обращения с персональными данными граждан. Это первый подобный случай в Китае - раньше при рассмотрении дел, связанных с конфиденциальностью данных, правоохранительным органам приходилось принимать решения, опираясь на нормы других существующих законов.

Новый закон работает в той же логике, что и Общий регламент ЕС по защите данных (General Data Protection Regulation, GDPR), который грозит компаниям штрафами до 5% от дохода за предыдущий год или $7,7 млн – в зависимости от того, что больше.

Китайский закон о защите персональных данных состоит из более чем 70 статей. Среди прочего, он запрещает незаконный сбор, использование, обработку, передачу, раскрытие и торговлю личной информацией людей.

Наказания варьируются в зависимости от серьезности нарушений – от простого предупреждения и приказа об устранении нарушений до приостановки предоставления услуг или отзыва лицензий на ведение бизнеса, конфискации незаконных доходов и значительных административных штрафов.

Сотрудники организации-виновника утечки могут привлекаться к личной ответственности. Им грозят штрафы, запрет на работу на руководящих должностях. В самых серьезных случаях предусматривается уголовная ответственность. Так, за незаконное получение, продажу или передачу более 500 единиц информации, которая может повлиять на личную и финансовую безопасность граждан (например, информация о здоровье и физическом состоянии, данные о финансовых транзакциях и т. д.) закон устанавливает наказание в виде лишения свободы на срок до трех лет.

Если же, как сообщают на форумах, среди похищенных в Шанхае данных есть записи о лицах до 18 лет, атака также попадает под законодательство о защите несовершеннолетних.

Китайские власти традиционно не комментируют слухи о произошедшем. Представители городской полиции и Управления киберпространства Китая, ответственного за интернет-надзор страны, не ответили на запросы журналистов о комментариях. Если атака действительно произошла, это будет уже не первая подобная утечка в китайском киберпространстве.

В 2020 году сообщалось о компрометации данных 2 млн членов Китайской коммунистической партии. Информацию похитили правозащитники, которые привлекали внимание к участию деятелей КПК в крупнейших мировых оборонных корпорациях, банках и фармкомпаниях.

Также в 2020 году взломщики украли данные сервиса Weibo. По заявлению компании, утечка коснулась более 538 миллионов пользователей, у которых были скомпрометировны реальные имена, данные геолокации, телефонные номера. Закрытые учетные данные, например, пароли, под угрозу не попали.

В 2016 году в открытый доступ попала личная информация десятков чиновников Коммунистической партии и представителей китайского бизнеса - от основателя Alibaba Group Джека Ма (Jack Ma) до крупного предпринимателя Ван Цзяньлиня (Wang Jianlin). Отдельные жертвы утечки подтверждали, что слив включил их реальные данные.