Güvenlik araştırmacıları, bir hacker veya grup tarafından ele geçirilen geniş bir kişisel veri hazinesine sahip bir Şanghay polis veritabanının, muhtemelen Çin hükümetinin bilgisayar sistemlerinin bilinen en büyük ihlali olan şeyde, aylarca çevrimiçi ve güvenli bir şekilde bırakıldığını söyledi.
Bir milyar kadar Çin vatandaşının kişisel bilgilerini satmayı teklif eden bir çevrimiçi forumda anonim bir kullanıcının yayınlamasından sonra ortaya çıkan sızıntı, Çin hükümetinin geniş gözetim ve güvenlik aygıtının gizlilik risklerini ortaya koyuyor.
Çin’deki yetkililer, vatandaşların hareketlerini takip ederek, sosyal medya paylaşımlarını inceleyerek ve DNA’larını ve diğer biyolojik belirteçlerini kaydederek vatandaşlar hakkında çok miktarda veri topluyor. Bununla birlikte, devlet her zamankinden daha fazla miktarda kişisel veri biriktirirken bile, bazen onu korumasız sunuculara park etmek gibi güvenlik önlemleri oluşturma konusunda gevşek olmuştur. Şanghay veritabanının reklamı yapıldıktan kısa bir süre sonra, başka bir isimsiz kullanıcı, çevrimiçi bir forumda, orta Çin eyaleti Henan’dan ayrı bir polis veritabanı satmayı teklif ederek 90 milyon vatandaş hakkında bilgi sahibi olduğunu iddia etti.
Çin vatandaşları son yıllarda kişisel mahremiyet ve şirketlerden veri koruması için artan taleplerini dile getirdiler. Bu sızıntı, Çin’de geniş çapta bilinir hale gelirse, büyük olasılıkla, hükümet tarafından özel verilerin toplanmasına karşı halkın direnişini de körükleyecektir. Ancak sızıntıyla ilgili haberler hızla sansürlendi ve Çin internet ve sosyal medya platformlarından kaldırıldı, bu da hükümetin görünen ihlalin patlayıcı niteliğini tanıdığının bir işareti. Perşembe günü, popüler bir Çin mikroblog hizmeti olan Sina Weibo’da “Shanghai veri sızıntısı”, “bir milyar vatandaşın veri sızıntısı” ve “veri sızıntısı” gibi hashtag’ler engellendi.
Bir strateji firması olan Albright Stonebridge Group’un Çin kıdemli başkan yardımcısı Paul Triolo, “Çin kamu güvenliği dünyası ve buna bağlı olarak Çin hükümeti için büyük bir kara göz bıraktı” dedi. “Bu konunun halk için ne kadar hassas olduğu düşünülürse, tam sansür moduna girmeleri şaşırtıcı değil.”
Güvenlik araştırmacıları, büyük veri sızıntıları nadir olmamakla birlikte, Şanghay polisi veri tabanının hem ölçeği hem de içerdiği bazı bilgilerin son derece hassas doğası ile öne çıktığını söyledi.
İki siber güvenlik araştırmacısı, anonim kullanıcının, veritabanının bir milyar kadar kişiyi kapsayan 23 terabayttan fazla veri içerdiğine dair iddialarını ayrı ayrı doğruladıklarını ve sızdırılan dosyalardan birinin yaklaşık 970 milyon kayıt içerdiğini belirtti. Yinelenen giriş olasılığını dışlamadılar.
Bunlardan biri, bir tehdit istihbarat şirketi olan Shadowbyte’ın kurucusu Vinny Troia, veritabanına ilk kez aylar önce rastladığını söyledi. Açıkta kalan veritabanları için internette dolaşan çevrimiçi bir platform olan Leak IX’dan Veri, sunucuya Nisan 2021’de erişilebildiğini gösteriyor. Şanghay veritabanının uzun süredir güvenli olmadığı ortaya çıktı, daha önce CNN tarafından bildirildi.
New York Times, ChinaDan adındaki anonim kullanıcının verinin gerçekliğini kanıtlamak için yayınladığı 750.000 kayıt örneğinin bazı bölümlerini doğruladı. Veritabanı, adresler ve kimlik numaralarına ek olarak, polis tarafından daha fazla gözetim gerektirdiği tespit edilen “kilit kişiler” hakkındaki bilgilerin yanı sıra polis raporlarını da içeriyordu. Bir vakada, bir büyükbaba, 3 yaşındaki torununa tecavüz ettiği için polise ihbar edildi. Bir başkasında, bir kişi Pekin’deki Tiananmen Meydanı’nda dilekçe verdiği için soruşturuldu. Örnek ayrıca Çin’deki vize şartlarını ihlal eden Amerikan vatandaşlarının isimlerini ve pasaport numaralarını da içeriyordu.
The New York Times’ın telefonla ulaştığı dokuz kişi isimlerini ve detaylarını doğruladı. Temasa geçen kişilerin hiçbiri daha önce veri sızıntısını duyduklarını söylemedi.
Bazıları kişisel bilgilerinin ifşa edilmesinden rahatsız görünmüyordu. Kızının işyeri müdürü tarafından tecavüze uğradığına dair polise şikayette bulunan bir adam, örnek sette yayınlanan veriler arasındaydı, telefonla ulaşıldığında kaydın doğruluğunu teyit etti. Ancak bölümün geçmişte kaldığını ve bilgilerin halka açık olmasının önemli olmadığını söyledi.
Diğerleri hayal kırıklığı ve istifasını dile getirdi. Pek çok Çinli, gözetim, sansür ve sık sık telefonla pazarlama aramalarına alıştı ve bu tür izinsiz girişlerin kolaylık ve güvenlik maliyeti olduğunu kabul etti. Yine de, güvencelerin olması gerektiğini söylediler.
Ayrıntıları örnek sette de bulunan Şanghay’daki bir pazarlamacı olan May Peng, “Bu endişe verici çünkü bunlar sıradan insanların dosyaları” dedi. Verilerin gösterdiği gibi, 2017’de elektrikli scooter’ı çalındığında polise şikayette bulunduğunu doğruladı. “Daha iyi korunmalılar.”
Hükümet bu konuda sessizliğini korudu. Çin Siber Güvenlik İdaresi, faksla gönderilen bir yorum talebine yanıt vermedi. Şanghay’ın kamu güvenliği bürosu, veritabanıyla ilgili soruları yanıtlamayı reddetti.
Hükümetin sızıntıyı kabul etmeyi reddetmesi, şirketlerin ve devlet kurumlarının genellikle bilgileri sızdırıldığında etkilenen kullanıcıları uyarmakla yükümlü olduğu diğer ülkelerdeki yaygın uygulamanın aksine.
Bir siber güvenlik danışmanlığı olan SecurityDiscovery.com’un sahibi olan Bay Troia ve başka bir araştırmacı Bob Diachenko, Şanghay verisinin, birisi güvenlik duvarında bir delik açan bir ağ geçidi kurana kadar kapalı bir ağda güvenli bir şekilde saklandığını söyledi. Veritabanına kolay erişim sağlamanın bir yolu olarak bu tür portallar oluşturmanın geliştiriciler arasında yaygın bir uygulama olduğunu, ancak bu tür ağ geçitlerinin parola korumalı olması gerektiğini söylediler.
Şanghay veritabanına açılan ağ geçidinin bir parolası yoktu.
Bay Troia, güvencesiz dosya hazinesiyle ilk kez geçen Aralık veya Ocak ayında karşılaştığını ve devasa boyutuyla öne çıktığını söyledi. O sırada dosyaların küçük bir örneğini indirdiğini ve incelediğini söyledi.
Bay Diachenko, ekibinin veri tabanına bu yılın Nisan ayından, birisinin veriyi kopyalayıp yok ettiği ve bilgilerin kurtarılması için şu anki değeri yaklaşık 200.000 dolar olan 10 Bitcoin talep eden bir fidye notu bıraktığı Haziran ortasına kadar erişilebilir olduğunu belirlediğini söyledi. . Güvenlik araştırmacıları, kötü niyetli aktörlerin açıkta kalan veritabanlarını ele geçirmesinin ve veri sahiplerini fidye talepleriyle gasp etmeye çalışmasının yaygın olduğunu söylüyor.
Herhangi birinin tüm veritabanı için ödeme yapıp indirmediği belli değil. Times, bu hafta isimsiz kullanıcıya ulaştı ancak bir yanıt alamadı.
Güvenlik araştırmacıları, Şanghay veri tabanında yer alan büyük miktarda kişisel bilginin, verileri ifşa edilen bireyleri gasp, şantaj veya dolandırıcılık riskiyle karşı karşıya bırakabileceğini söylüyor.
Bay Diachenko, “Bir kişinin profili ne kadar eksiksizse, o kadar tehlikelidir,” dedi. “İmkanlar sonsuzdur.”