Basis Data Polisi Tiongkok Tidak Diamankan Jauh Sebelum Disita

Basis data kepolisian Shanghai dengan sejumlah besar data pribadi yang disita oleh hack atau kelompok telah dibiarkan daring, tanpa jaminan, selama berbulan-bulan, security kata para peneliti, dalam apa yang mungkin merupakan pelanggaran terbesar yang diketahui dari sistem komputer pemerintah China.

Kebocoran itu, yang terungkap setelah seorang pengguna anonim memposting di forum online yang menawarkan untuk menjual informasi pribadi sebanyak satu miliar warga China, memperlihatkan risiko privasi dari pengawasan besar-besaran pemerintah China dan security aparat.

Pihak berwenang di China mengumpulkan sejumlah besar data tentang warga dengan melacak pergerakan mereka, menjelajahi posting media sosial mereka, dan merekam DNA mereka dan penanda biologis lainnya. Namun, bahkan ketika negara mengumpulkan data pribadi dalam jumlah yang lebih besar, terkadang negara itu lemah dalam membangun perlindungan, seperti dengan memarkirnya di server yang tidak terlindungi. Tak lama setelah database Shanghai diiklankan, pengguna anonim lain memposting di forum online yang menawarkan untuk menjual database polisi terpisah dari provinsi Henan di China tengah, mengklaim memiliki informasi tentang 90 juta warga.

Warga negara China dalam beberapa tahun terakhir menyatakan tuntutan yang meningkat untuk privasi pribadi dan perlindungan data dari perusahaan. Kebocoran ini, jika diketahui secara luas di China, kemungkinan besar juga akan memicu penolakan publik terhadap pengumpulan data pribadi oleh pemerintah. Tetapi berita tentang kebocoran itu dengan cepat disensor dan dihapus dari internet China dan platform media sosial, sebuah tanda bahwa pemerintah mengakui sifat eksplosif dari pelanggaran yang tampak. Pada hari Kamis, tagar seperti “kebocoran data Shanghai,” “kebocoran data satu miliar warga” dan “kebocoran data” tetap diblokir di Sina Weibo, layanan microblogging China yang populer.

“Ini meninggalkan mata hitam besar bagi publik Tiongkok security dunia, dan lebih jauh lagi pemerintah China,” kata Paul Triolo, wakil presiden senior untuk China di Albright Stonebridge Group, sebuah perusahaan strategi. “Tidak mengherankan mereka masuk ke mode sensor penuh mengingat betapa sensitifnya masalah ini bagi publik.”

Meskipun kebocoran data besar tidak jarang terjadi, basis data kepolisian Shanghai menonjol baik karena skalanya dan sifat yang sangat sensitif dari beberapa informasi yang disertakan, security kata peneliti.

Dua peneliti keamanan siber mengatakan bahwa mereka telah memverifikasi secara terpisah klaim pengguna anonim bahwa database mencakup lebih dari 23 terabyte data yang mencakup sebanyak satu miliar individu, mencatat bahwa salah satu file yang bocor tampaknya berisi hampir 970 juta catatan. Mereka tidak mengesampingkan kemungkinan entri duplikat.

Salah satunya, Vinny Troia, pendiri Shadowbyte, sebuah perusahaan intelijen ancaman, mengatakan bahwa dia pertama kali menemukan database beberapa bulan yang lalu. Data dari Leak IX, platform online yang menjelajah internet untuk database yang terbuka, menunjukkan bahwa server dapat diakses pada awal April 2021. Pengungkapan bahwa database Shanghai telah lama tidak aman sebelumnya dilaporkan oleh CNN.

The New York Times mengkonfirmasi bagian dari sampel 750.000 catatan bahwa pengguna anonim, yang menggunakan nama ChinaDan, dirilis untuk membuktikan keaslian data. Selain alamat dan nomor ID, database juga menyertakan informasi tentang “orang-orang kunci” yang diidentifikasi oleh polisi sebagai memerlukan pengawasan yang lebih ketat, serta laporan polisi. Dalam satu kasus, seorang kakek dilaporkan ke polisi karena memperkosa cucunya yang berusia 3 tahun. Di tempat lain, seseorang diselidiki karena mengajukan petisi di Lapangan Tiananmen di Beijing. Sampel juga termasuk nama dan nomor paspor warga negara Amerika yang melanggar persyaratan visa mereka di China.

Sembilan orang yang dihubungi oleh The New York Times melalui telepon mengkonfirmasi nama dan rincian mereka. Tak satu pun dari orang yang dihubungi mengatakan mereka sebelumnya telah mendengar tentang kebocoran data.

Beberapa tampak tidak terpengaruh karena informasi pribadi mereka diekspos. Seorang pria, yang catatan pengaduannya kepada polisi bahwa putrinya telah diperkosa oleh manajer kerjanya termasuk di antara data yang diposting di kumpulan sampel, mengkonfirmasi keakuratan catatan tersebut ketika dihubungi melalui telepon. Tetapi dia mengatakan bahwa episode itu sudah berlalu, dan tidak masalah jika informasinya terbuka untuk umum.

Yang lain menyatakan frustrasi dan pengunduran diri. Banyak orang Cina telah terbiasa dengan pengawasan, penyensoran dan panggilan telemarketing yang sering, menerima bahwa gangguan seperti itu adalah biaya kenyamanan dan keamanan. Namun, kata mereka, perlu ada pengamanan.

“Ini mengkhawatirkan karena ini adalah file orang biasa,” kata May Peng, seorang pramuniaga di Shanghai yang rinciannya juga ada dalam kumpulan sampel. Dia membenarkan bahwa seperti yang ditunjukkan oleh data, dia telah mengajukan laporan polisi pada tahun 2017 ketika skuter listriknya dicuri. “Mereka harus dilindungi dengan lebih baik.”

Pemerintah bungkam soal itu. Administrasi Keamanan Siber China tidak menanggapi permintaan komentar melalui faks. publik Shanghai security biro menolak untuk menanggapi pertanyaan tentang database.

Penolakan pemerintah untuk mengakui kebocoran tersebut bertentangan dengan praktik umum di negara lain, di mana perusahaan dan lembaga pemerintah sering diwajibkan untuk memperingatkan pengguna yang terkena dampak jika informasi mereka telah bocor.

Mr Troia dan peneliti lain, Bob Diachenko, pemilik SecurityDiscovery.com, konsultan keamanan siber, mengatakan bahwa data Shanghai telah disimpan dengan aman di jaringan tertutup sampai seseorang membuat gateway yang pada dasarnya melubangi firewall. Mereka mengatakan bahwa membuat portal semacam itu adalah praktik umum di antara developers sebagai cara untuk mendapatkan akses mudah ke database, tetapi gateway semacam itu harus dilindungi kata sandi.

Gerbang ke database Shanghai tidak memiliki kata sandi.

Troia mengatakan bahwa dia pertama kali menemukan kumpulan file tanpa jaminan pada Desember atau Januari lalu, dan itu menonjol karena ukurannya yang besar. Dia mengatakan dia mengunduh dan meninjau sedikit contoh file pada saat itu.

Diachenko mengatakan bahwa timnya telah menentukan bahwa database dapat diakses pada awal April tahun ini hingga pertengahan Juni ketika seseorang menyalin dan menghancurkan data dan meninggalkan catatan tebusan yang menuntut 10 Bitcoin, nilai saat ini sekitar $200.000, untuk pemulihan informasi . Peneliti keamanan mengatakan bahwa adalah hal biasa bagi aktor jahat untuk membajak database yang terbuka dan mencoba memeras pemilik data dengan tuntutan tebusan.

Tidak jelas apakah ada yang membayar dan mengunduh seluruh basis data. The Times menghubungi pengguna anonim minggu ini tetapi tidak menerima tanggapan.

Peneliti keamanan mengatakan bahwa sejumlah besar informasi pribadi yang terkandung dalam database Shanghai dapat menempatkan individu yang datanya terpapar pada risiko pemerasan, pemerasan, atau penipuan.

“Semakin lengkap profil seseorang, semakin berbahaya itu,” kata Diachenko. “Kemungkinannya tidak terbatas.”