Compromissione di un importante database governativo cinese: questo è quanto riportato dall’annuncio di vendita apparso online su uno dei forum utilizzati spesso proprio per scambiare beni digitali illeciti. Se dovesse essere confermato dalle autorità cinesi, potrebbe diventare il più grande data leak della storia cyber cinese.
Indice degli argomenti
Com’è avvenuta la perdita dei dati
L’annuncio sul forum è apparso il 30 giugno scorso: nel post l’autore criminale rivendica il possesso di una enorme quantità di dati, esfiltrati direttamente dal database della polizia di Shanghai. Elencando quindi tutte le caratteristiche del leak e offrendo anche un sample di 750 mila righe suddivise in 3 blocchi da 250mila ciascuno (108 MB circa compressi). Il forum in questione non è una fonte accessibile nel Dark Web, ma si tratta di un normale sito Web, raggiungibile anche senza ulteriori strumenti come l’accesso alla rete Tor (un particolare che rende ancora più grave l’impatto).
In totale, si tratta di 23 TB di dati in vendita per 10 Bitcoin.
Bisogna però prestare attenzione al fatto che questa è la rivendicazione dell’autore. Sul fatto che si tratti di un database direttamente collegato alla polizia non ci sono al momento prove tangibili. Tanto meno le autorità cinesi hanno ancora comunicato ufficialmente sull’accaduto; anzi, ci sono segnali provenienti direttamente dai social più diffusi in Cina di azioni di repressione sull’accaduto e sulle notizie ad esso collegate.
Non è facile, quindi, poter garantire con certezza una corretta attribuzione, almeno in questo momento. Possiamo invece evincere che si tratti dell’esfiltrazione di un database sicuramente contenente dati personali di cittadini cinesi e del quale si rivendica la presunta appartenenza alle forze di polizia di Shanghai.
Tra i primi ad affrontare l’argomento evidenziamo Zhao Changpeng, fondatore e CEO dell’exchange di criptovalute Binance, che il 3 luglio conferma di aver rilevato (mediante la propria infrastruttura di Threat Intelligence) una perdita di dati personali di “1 miliardo di cittadini di un paese asiatico” senza specificare di quale paese si tratti. Ricordiamo che Binance è considerato uno dei più grandi exchange di criptovalute al mondo.
Inoltre, Changpeng non accenna minimamente a una possibile correlazione di appartenenza (di questi dati) diretta alle forze di polizia. Mentre invece è già chiaro che si tratti di una esfiltrazione messa in pratica sfruttando una cattiva configurazione di server governativi esposti a Internet.
Our threat intelligence detected 1 billion resident records for sell in the dark web, including name, address, national id, mobile, police and medical records from one asian country. Likely due to a bug in an Elastic Search deployment by a gov agency. This has impact on …
— CZ 🔶 BNB (@cz_binance) July 3, 2022
Il giorno seguente emergono ulteriori dettagli, che vengono diffusi sempre dal CEO di Binance, il quale sta seguendo molto da vicino la vicenda proprio per cercare di mitigare il più possibile i rischi nei confronti dei propri utenti, anche intensificando i processi di login nella sua piattaforma (con cambio forzato delle credenziali e comunicazione di alert contro il possibile phishing futuro).
Viene infatti trovato un post di un blog su CSDN pubblicato da uno sviluppatore governativo, nel quale si sarebbero lasciate chiare indicazioni sull’endpoint utilizzato per l’archiviazione del progetto di cui si parla nel post (tema quindi governativo), con tanto di credenziali di accesso. Ricordiamo che CSDN è la “rete cinese di sviluppatori di software”, gestita da Bailian Midami Digital Technology Co., Ltd., è una delle più grandi reti di sviluppatori di software in Cina, tra le altre cose fornisce forum Web, blog hosting e notizie IT.
Questa distrazione è costata l’esfiltrazione di dati sensibili di 1 miliardo di residenti, proprio perché il contenuto dell’endpoint era governativo, ospitato sui server e l’infrastruttura cloud di Alibaba.
Cosa contengono i dati rubati
Per la quantità e la grandezza del leak, Reuters l’ha candidato a poter diventare, qualora confermato, la più grande fuga di dati della storia cinese. Il dettaglio del sample offerto dal criminale che porta avanti la campagna di vendita di questi dati, fa trapelare contenuti dei cittadini relativamente a nomi, indirizzi, luoghi di nascita, numeri di identificazione nazionale, numeri di cellulare e tutti i dettagli di reati o accuse. È proprio quest’ultimo elemento, oltre che il titolo della rivendicazione sul forum underground, a far pensare ci possa essere un presunto collegamento con il database della polizia. Ma non è un elemento discriminante tanto da garantirne la certezza.
La gravità è sicuramente preoccupante e anche il fatto che aziende private come Binance, siano già corse ai ripari per cercare di scongiurare ulteriori brutte conseguenze, è un segnale dell’importanza di questo incidente.
Il pericolo è infatti che terze parti non autorizzate entrino ulteriormente a contatto con questi dati, utilizzandoli illecitamente per condurre altri attacchi, magari di tipo phishing mirato, sempre ai danni dei cittadini, dei quali a questo punto, si conoscono molti dettagli utili per qualsiasi tipo di frode. La grandezza dell’archivio è anche questo un forte segnale, ci sono evidenze per le quali alcuni tipo di dato, come quello relativo ai reati commessi, che vanno dal 1997 al 2019. Un arco temporale enorme, che abbraccia una generazione di residenti.
