Un cybercriminel a propos sur un forum d'informations et de discussions sur les violations de donnes de vendre ce qu'il affirme tre une base de donnes contenant des enregistrements de plus d'un milliard de civils chinois, prtendument vols la police de Shanghai. Au cours du week-end, des rapports ont commenc faire tat d'un message post sur un forum de Breached.to. En 2022, la base de donnes de la police nationale de Shanghai (SHGA) a t divulgue. Cette base de donnes contient plusieurs TB de donnes et d'informations sur des milliards de citoyens chinois. HackerDan a propos de vendre le lot pour 10 bitcoins soit environ 200 000 dollars. Il a publi des chantillons de donnes : l'un contient des adresses de livraison et souvent des instructions pour les conducteurs ; un autre contient des dossiers de police ; et le dernier contient des informations d'identification personnelle comme le nom, le numro d'identification national, l'adresse, la taille et le sexe.
La Chine dispose d'une police nationale, qui a sans doute un bureau Shanghai. Mais il est difficile de trouver une entit appele police nationale de Shanghai . Les mdias ont nanmoins pu vrifier que le contenu de l'chantillon quelle qu'en soit la source est fiable.
Alors que le gouvernement et le dpartement de la police de Shanghai sont rests largement silencieux sur la fuite, les plateformes de mdias sociaux Weibo et WeChat ne l'taient pas, du moins jusqu' dimanche aprs-midi, lorsque les utilisateurs de Weibo ont commenc avoir des hashtags bloqus lis la fuite de donnes.
En 2020 dj, un universitaire amricain a rvl l'existence d'une base de donnes de 2,4 millions de personnes qui, selon lui, avait t compile par une socit chinoise connue pour fournir des informations des agences de renseignement, militaires et de scurit. Le chercheur avait allegu que le but de la base de donnes etait de permettre la conduite d'oprations d'influence contre des personnes minentes et influentes en dehors de la Chine.
Son nom est Chris Balding, professeur associ l'Universit Fulbright du Vietnam.
Selon lui, l'entreprise en question s'appelle Shenzhen Zhenhua .
Le chercheur en scurit Robert Potter et Balding ont co-crit un article affirmant que cette base de donnes est baptise Overseas Key Information Database (OKIDB) et que si la plupart d'entre ces donnes auraient pu tre extraites des mdias sociaux ou d'autres sources accessibles au public, 10 20% de ces informations ne semblent provenir d'aucune source publique d'information. Les co-auteurs n'excluent pas le piratage comme source de ces donnes, mais affirment galement qu'ils ne peuvent trouver aucune preuve d'une telle activit.
Un objectif fondamental semble tre la guerre de l'information , ont dclar les deux hommes.
Lundi, une voix inhabituelle s'est jointe l'analyse de l'vnement actuel : Changpeng Zhao, le PDG de la bourse de cryptomonnaies Binance. Zhao s'est exprim sur Twitter en ces termes : Nos services de renseignement sur les menaces ont dtect un milliard de dossiers de rsidents vendre sur le dark web, y compris le nom, l'adresse, l'identit nationale, les numros de tlphone mobile, les dossiers de police et les dossiers mdicaux d'un pays asiatique. Probablement d un bug dans le dploiement d'Elastic Search par une agence gouvernementale.
Il a ensuite tweet nouveau, cette fois en affirmant que cet exploit s'est produit parce que le dveloppeur de gov a crit un blog technique sur CSDN et a accidentellement inclus les informations d'identification .
Quelle que soit la source de la fuite, elle va fortement contrarier la Chine. Le gouvernement du pays a rcemment donn la priorit la protection des donnes personnelles et la scurit des infrastructures critiques. La Chine place le consentement continu au centre de la loi sur la protection des donnes. La rglementation qui entrera en vigueur le 1er novembre donnera mme votre famille des droits sur vos donnes aprs votre dpart de l'hpital.
La Chine a adopt une loi qui, selon les autorits, perfectionne les dispositions existantes en matire de protection des donnes personnelles.
La nouvelle loi sur la protection des informations personnelles de la Rpublique populaire de Chine est entre en vigueur le 1er novembre 2021. Elle comprend huit chapitres et 74 articles qui noncent des mesures la fois strictes et vagues sur la manire dont les donnes sont collectes et gres, sur les droits des individus et sur l'identit du propritaire final des donnes.
C'est ce qu'a dclar l'Administration chinoise. Sur la base des lois pertinentes, la loi affine et perfectionne les principes et les rgles de traitement des informations personnelles suivre dans la protection des informations personnelles, clarifie les limites des droits et obligations dans les activits de traitement des informations personnelles, et amliore les systmes et mcanismes de travail pour la protection des informations personnelles.
Le document dcrit les processus normaliss de traitement des donnes, dfinit les rgles relatives aux big data et aux oprations grande chelle, rglemente les personnes qui traitent les donnes, traite des donnes qui circulent au-del des frontires et dcrit l'application juridique de ses dispositions. Il prcise galement que les organismes d'tat ne sont pas l'abri de ces mesures.
L'Administration chinoise affirme que le consentement la collecte de donnes est au cur des lois chinoises et que la nouvelle lgislation exige un consentement pralable continu, jour et pleinement inform de l'individu. Les parties qui recueillent des donnes ne peuvent pas exiger des informations excessives ni refuser des produits ou des services si l'individu s'y oppose.
La personne dont les donnes sont collectes peut retirer son consentement, et le dcs ne met pas fin aux responsabilits du collecteur d'informations ni aux droits de la personne, il ne fait que transmettre le droit de contrler les donnes la famille du sujet dcd. Les responsables du traitement des informations doivent galement prendre les mesures ncessaires pour garantir la scurit des informations personnelles traites et sont tenus de mettre en place des systmes de gestion de la conformit et des audits internes.
Pour collecter des donnes sensibles, comme les donnes biomtriques, les croyances religieuses et les comptes mdicaux, sanitaires et financiers, les informations doivent tre ncessaires et protges. Avant la collecte, il doit y avoir une valuation d'impact, et l'individu doit tre inform de la ncessit des donnes collectes et de leur impact sur les droits personnels.
Il est intressant de noter que la loi cherche empcher les entreprises d'utiliser le big data pour s'attaquer aux consommateurs. Par exemple en fixant le prix des transactions ou pour tromper ou frauder les consommateurs sur la base de caractristiques ou d'habitudes individuelles. En outre, les plateformes de rseaux grande chelle doivent tablir des systmes de conformit, rendre compte publiquement de leurs efforts et externaliser les mesures de protection des donnes. Selon une annonce de l'Administration du cyberespace de Chine (CAC), les cyberattaques sont actuellement frquentes dans l'Empire du Milieu, et les infrastructures d'information critiques sont confrontes de graves problmes de scurit.
La CAC a qualifi les infrastructures critiques de centre nerveux des oprations conomiques et sociales et de priorit absolue de la scurit des rseaux . La dfinition chinoise des infrastructures d'information critiques se rsume tout systme susceptible de subir des dommages importants la suite d'une cyberattaque, et/ou de voir une telle attaque porter atteinte la socit en gnral, voire la scurit nationale.
Source : Breach
Et vous ?
Quel est votre avis surle sujet ?
Voir aussi :
