Un pirate informatique affirme qu’il s’est introduit sur le serveur de la police de Shanghai et qu’il a récupéré plus de 20 To de données. Ce hacker les met en vente sur un forum, et cela concernerait un milliard de citoyens chinois.

 

 

Des centaines de milliers, des millions, puis des dizaines de millions… D’année en année, le piratage de masse et la fuite de données prennent de plus en plus d’ampleur, et quand ça touche la Chine, ça dépasse le milliard ! Reuters révèle ainsi qu’un hacker s’est emparé des données personnelles d’un milliard de citoyens chinois, et ce serait l’un des plus gros piratages de l’histoire. Ce pirate, qui se fait appeler « ChinaDan », a posté la semaine dernière sur le forum Breach Forums un message où il propose de vendre plus de 23 To de données pour 10 bitcoins, soit environ 200.000 dollars.

Selon lui, les données sont issues de la base de données de la police nationale de Shanghai et elles contiennent des informations sur un milliard de résidents chinois comme le nom, l’adresse, le lieu de naissance, le numéro de téléphone portable mais aussi des détails sur leur casier judiciaire ou leur plainte. En gros, tout ce que la police possède sur des citoyens.

Le gouvernement et le département de police de Shanghai n’ont pas répondu aux questions de l’agence de presse. Silence aussi chez l’auteur du piratage, et il est donc difficile de savoir si cette fuite de données est avérée. Mais dans son message posté sur le darkweb, le hacker a donné quelques détails sur sa prise et il a expliqué qu’il avait récupéré les données sur un serveur distant fourni par Aliyun (Alibaba Cloud), et qu’il faisait partie du réseau de la police chinoise. P.-D.G de Binance (spécialiste des cryptomonnaies), Zhao Changpeng, a déclaré lundi que sa société avait intensifié les processus de vérification des utilisateurs pour éviter que des pirates n’usurpent l’identité d’éventuelles personnes présentes dans cet immense fichier. Selon lui, il s’agit au départ d’un bug dans le déploiement, par l’État, d’Elastic Search, un moteur de recherche de base de données. Il ajoute que cette vulnérabilité est née de la publication en ligne d’un article technique par un développeur qui aurait accidentellement inclus les informations d’identification.

Pour sa part, le Wall Street Journal a contacté des dizaines de personnes dont les données auraient été volées lors de ce piratage et certaines d’entre elles ont validé toutes les informations disponibles dans l’échantillon divulgué. « À ce stade, il est impossible de confirmer l’ampleur de la fuite de données, mais cinq des personnes contactées ont vérifié tous les profils répertoriés avec leur nom, et ce sont des informations qu’il serait difficile d’obtenir d’une source autre que la police », conclut ce dirigeant sur Twitter.